为Nginx服务器配置黑(白)名单的防火墙
2021/7/18 7:05:44
本文主要是介绍为Nginx服务器配置黑(白)名单的防火墙,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
处在黑名单中的ip与网络,将无法访问web服务。 处在白名单中的ip,访问web服务时,将不受nginx所有安全模块的限制。 支持动态黑名单(需要与ngx_http_limit_req 配合) 具体详见下面的说明 文件配置方法说明 一、定义黑名单或白名单方法:在Nginx的conf目录下面建立blockip.conf文件,把想要屏蔽的IP只要加入这个文件即可,格式如下:
deny 195.91.122.67;
在nginx的配置文件nginx.conf中加入如下配置,可以放到http, server, location, limit_except语句块,需要注意相对路径,本例当中nginx.conf,blocksip.conf在同一个目录中
include blockip.conf;
高级用法
屏蔽ip的配置文件既可以屏蔽单个ip,也可以屏蔽ip段,或者只允许某个ip或者某个ip段访问。
# 屏蔽单个ip访问 deny IP; # 允许单个ip访问 allow IP; # 屏蔽所有ip访问 deny all; # 允许所有ip访问 allow all; #屏蔽整个段即从123.0.0.1到123.255.255.254访问的命令 deny 123.0.0.0/8 #屏蔽IP段即从123.45.0.1到123.45.255.254访问的命令 deny 124.45.0.0/16 #屏蔽IP段即从123.45.6.1到123.45.6.254访问的命令 deny 123.45.6.0/24
如果你想实现这样的应用,除了几个IP外,其他全部拒绝,
那需要你在blockip.conf中这样写
allow 1.1.1.1; allow 1.1.1.2; deny all;
单独网站屏蔽IP的方法,把include blocksip.conf; 放到网址对应的在server{}语句块,
所有网站屏蔽IP的方法,把include blocksip.conf; 放到http {}语句块。
屏蔽访问过于频繁的IP脚本需要根据实际的nginx log 格式,修改,取出 访问IP 和User-Agent.
在nginx配置文件中添加一条配置
include ./vhost/blockip.conf;另外,white_black_list_conf可以配置多个 只需 zone=value 其中的value不同就可 配置示例:
http{
......
white_black_list_conf conf/white.list zone=white:4m;
white_black_list_conf conf/black.list zone=black:4m;
......
server{
.......
}
.......
}
二、黑白名单作用范围
1. 配置格式
配置关键字 on/off
配置关键字有:white_list 与 black_list 分别用来表示白名单与黑名单
2. 能在http{}、server{}、location{}下使用, 功能默认是关闭
3. 配置示例:
http{
......
white_black_list_conf conf/white.list zone=white1:4m;
white_black_list_conf conf/black.list zone=black1:4m;
white_list white1 on; #白名单 white1 在整个http{} 中都开启
black_list black1 on; #黑名单 black1 在整个http{} 中都开启
server{
.......
}
.......
}
http{
......
white_black_list_conf conf/white.list zone=white2:4m;
white_black_list_conf conf/black.list zone=black2:4m;
server{
.......
white_list white2 on; #白名单 white1 在整个server{} 中都开启
black_list black2 on; #黑名单 black1 在整个server{} 中都开启
.......
}
.......
}
http{
......
white_black_list_conf conf/white.list zone=white3:4m;
white_black_list_conf conf/black.list zone=black3:4m;
white_black_list_conf conf/black.list zone=black2:4m;
white_black_list_conf conf/white.list zone=white2:4m;
server{
.......
location /do {
........
white_list white3 on; #白名单 white3 在location /do{} 中开启
black_list black3 on; #黑名单 black3 在location /do{} 中开启
........
}
location /do1{
white_list white2 on; #白名单 white2 在整个server{} 中都开启
black_list black2 on; #黑名单 black2 在整个server{} 中都开启
}
.......
}
.......
}
http配置接口说明:
一、配置配置接口
http{
.......
server{
......
location /sec_config{
sec_config on;
}
......
}
.......
}
二、配置方法:
1. http://xxx/sec_config 查看黑白名单定义情况
返回结果如下
{
"version": "nginx/1.3.0",
"code": "0",
"item": {
"conf_type": "white_black_list_conf",
"zone_name": "white",
"list_path": "/home/john/nginx/conf/white.list"
},
"item": {
"conf_type": "white_black_list_conf",
"zone_name": "black",
"list_path": "/home/john/nginx/conf/black.list"
},
"item": {
"conf_type": "white_black_list_conf",
"zone_name": "ex",
"list_path": "/home/john/nginx/conf/status_ex"
}
}
2. http://xxx/sec_config?zone_name=white 查看zone_name 为white 的 list_path中的具体内容
3. http://xxx/sec_config?zone_name=white&add_item=192.168.141.23 向 zone_name 为white 中增加192.168.141.23
4. http://xxx/sec_config?zone_name=white&delete_item=192.168.141.23 在 zone_name 为white 中删除192.168.141.23
查看配置方法2:
http://xxx/sec_config?for_each
三、黑白名单文件内容
conf/black.list 文件内容如下
2.2.2.2
192.168.141.1
3.3.3.3
4.4.4.5
2.3.4.4
四、动态黑名单
要使用该功能必须对 ngx_http_limit_req_module.c 进行patch
在ngx_http_limit_req_module.c中
增加#include <white_black_list.h>
并修改代码找到:
"
if (rc == NGX_BUSY) {
ngx_log_error(lrcf->limit_log_level, r->connection->log, 0,
"limiting requests, excess: %ui.%03ui by zone \"%V\"",
excess / 1000, excess % 1000,
&limit->shm_zone->shm.name);
"
在其下面增加:
ngx_black_add_item_interface(r, 1);配备关键字: dyn_black 格式: dyn_black $zone_name time; 比如: dyn_black black 60; //禁止访问60秒,60秒后自动解除 注意: 必须要配置black_list 配置示例:
http{
....
white_black_list_conf conf/black.list zone=black:4m;
limit_req_zone $binary_remote_addr zone=one:8m rate=4r/s;
...
server {
location / {
black_list black on;
limit_req zone=one burst=6;
dyn_black black 60; //禁止访问60秒,60秒后自动解除
...
}
location /xxx {
sec_config on;
}
...
}
...
}
参考文章
项目地址:https://github.com/codehunte/ngx_white_black_list
项目文档:https://github.com/codehunte/ngx_white_black_list/blob/master/white_black_list.txt
这篇关于为Nginx服务器配置黑(白)名单的防火墙的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-03-29fail2ban nginx
- 2024-03-18install nginx proxy manager
- 2024-01-2444从零开始用Rust编写nginx,命令行参数的设计与解析及说明
- 2024-01-22比Nginx更好用的Gateway!
- 2024-01-17nginx daemon off
- 2023-12-30Nginx Vhost Traffic Status 是什么意思-icode9专业技术文章分享
- 2023-12-26使用nginx搭建creates.io镜像(稀疏索引)
- 2023-11-18centos7编译安装Nginx教程。
- 2023-11-02nginx启动命令和停止命令
- 2023-10-25Centos7系统Nginx负载均衡如何安装和配置?
