"
"
"
一、真假難辨
如何禁止訪問,我們先了解下常見的3種網站訪問模式:
用戶直接訪問對外服務的普通網站
瀏覽器 --> DNS解析 --> WEB數據處理 --> 數據吐到瀏覽器渲染展示
用戶訪問使用了CDN的網站
瀏覽器 --> DNS解析 --> CDN節點 --> WEB數據處理 --> 數據吐到瀏覽器渲染展示
用戶通過代理上網訪問了我們的網站
瀏覽器 --> 代理上網 --> DNS解析 --> 上述2種模式均可能
對於第一種模式,我要禁止這個用戶的訪問很簡單,可以直接通過 iptables 或者 Nginx的deny指令來禁止均可:
iptabels:
iptables -I INPUT -s 用戶ip -j DROP
Nginx的deny指令:
語 法: deny address | CIDR | unix: | all;
默認值: —
配置段: http, server, location, limit_except
順 序:從上往下
Demo:
location / {
deny 用戶IP或IP段;
}
但對於後面2種模式就無能為力了,因為iptables 和 deny 都只能針對直連IP,而後面2種模式中,WEB服務器直連IP是CDN節點或者代理服務器,此時使用 iptable 或 deny 就只能把 CDN節點 或代理IP給封了,可能誤殺一大片正常用戶了,而真正的罪魁禍首輕輕鬆鬆換一個代理IP又能繼續請求了。
那我們可以通過什麼途徑去解決以上問題呢?
二、火眼金睛 如果長期關注張戈博客的朋友,應該還記得之前轉載過一篇分享Nginx在CDN加速之後,獲取用戶真實IP做併發訪問限制的方法。說明Nginx還是可以實實在在的拿到用戶真實IP地址的,那麼事情就好辦了。
要拿到用戶真實IP,只要在Nginx的http模塊內加入如下配置:
#獲取用戶真實IP,並賦值給變量$clientRealIP
map $http_x_forwarded_for $clientRealIp {
"" $remote_addr;
~^(?P<firstAddr>[0-9\\.]+),?.*$ $firstAddr;
}
那麼,$clientRealIP就是用戶真實IP了,其實就是匹配了 $http_x_forwarded_for 的第一個值,具體原理前文也簡單分享過:
其實,當一個 CDN 或者透明代理服務器把用戶的請求轉到後面服務器的時候,這個 CDN 服務器會在 Http 的頭中加入一個記錄
X-Forwarded-For : 用戶IP, 代理服務器IP
如果中間經歷了不止一個代理服務器,這個記錄會是這樣
X-Forwarded-For : 用戶IP, 代理服務器1-IP, 代理服務器2-IP, 代理服務器3-IP, ….
可以看到經過好多層代理之後, 用戶的真實IP 在第一個位置, 後面會跟一串中間代理服務器的IP地址,從這裡取到用戶真實的IP地址,針對這個 IP 地址做限制就可以了。
而且代碼中還配合使用了 $remote_addr,因此$clientRealIP 還能兼容上文中第1種直接訪問模式,不像 $http_x_forwarded_for 在直接訪問模式中將會是空值!
所以,$clientRealIP 還能配置到 Nginx 日誌格式中,替代傳統的 $remote_addr 使用,推薦!
三、隔山打牛
既然已經拿到了真實IP,卻不能使用 iptables 和 deny 指令,是否無力感油然而生?
哈哈,在強大的 Nginx 面前只要想得到,你就做得到!通過對 $clientRealIP 這個變量的判斷,Nginx就能實現隔山打牛的目的,而且規則簡單易懂:
#如果真實IP為 121.42.0.18、121.42.0.19,那麼返回403
if ($clientRealIp ~* "121.42.0.18|121.42.0.19") {
#如果你的nginx安裝了echo模塊,還能如下輸出語言,狠狠的發洩你的不滿(但不兼容返回403,試試200吧)!
#add_header Content-Type text/plain;
#echo "son of a bitch,you mother fucker,go fuck yourself!";
return 403;
break;
}
把這個保存為 deny.conf ,上傳到 Nginx 的 conf 文件夾,然後在要生效的網站 server 模塊中引入這個配置文件,並 Reload 重載 Nginx 即可生效:
#禁止某些用戶訪問
include deny.conf;
如果再想添加其他要禁止的IP,只需要編輯這個文件,插入要禁止的IP,使用分隔符 | 隔開即可,記得每次修改都需要 reload 重載 Nginx才能生效。
相關推薦
'一文弄懂視頻網站CDN的訪問調度原理'
"觀看視頻基本上成為了網民每天都在做過的事情,也都會遇到視頻卡頓,不能訪問的情況,有些時候是本地端設備或網絡的問題,有時候確是網絡配置不當引起的,如果能明白視頻網站的訪問原理,就可能會避免一些訪問不暢的問題。點播視頻眾所周知,大型視頻網站訪問量巨大,用戶數量巨大,佔用帶寬流...
獲取用戶真實的ip地址
用戶請求到達提供服務的服務器中間有很多的環節,導致服務獲取用戶真實的 ip 非常困難,大多數的框架及工具庫都會封裝各種獲取用戶真實 ip 的方法,在 exnet 包中也封裝了各種 ip 相關的操作,其中就包含獲取客戶端 ip 的方法,比較實用的方法如下:func Clien...
詳解Nginx允許和屏蔽單個IP或IP段訪問配置方案
首先簡單瞭解一下Nginx服務器。Nginx是一款輕量級的Web服務器、反向代理服務器及電子郵件(IMAP/POP3)代理服務器。其特點是佔有內存少,併發...
Nginx合併請求連接加速網站訪問
作為這個世界上最好的web服務器之一,Nginx的優勢不明而喻。下面來講講,Nginx是如何合併請求連接的。小知識當我們在瀏覽網頁的時候,對瀏覽速度有一個...
找到CDN背後的真實IP
有時想找到CDN後的服務器真實IP非常困難,參考網上的文檔,我選擇了一些方案可行的做介紹。方法一:查詢歷史DNS記錄通過查看 IP 與 域名綁定的歷史記錄...
推薦中...