之前写过关于nginx配置动态黑名单功能
原理是查询日志,统计某段时间内访问次数很频繁的ip,对ip进行封禁
如果在nginx之前有WAF,F5设备,remote_addr 的地址是WAF、F5的地址, 客户端真实的IP地址是在
http_x_forwarded_for中的, 这样这样 nginx 默认的 deny 和 allow 就不能用了。
我们定义一个 map 拒绝的 IP 地址列表。cat x_forwarded_for_deny.conf
map $http_x_forwarded_for $allowed {
default allow;
#~\s*192.168.0.100$ deny; # 拒绝一个IP地址
#~\s*192.168.0.\d+$ deny; # 拒绝一个网段IP地址
include deny_ip.conf;
}
这个deny_ip.conf就是需要禁止的ip,内容参考上面注释的两行,例如
~\s*192.168.1.123$ deny;
~\s*127.20.3.4$ deny;
然后在nginx默认配置文件nginx/conf/nginx.conf里引入这个x_forwarded_for_deny.conf文件
include x_forwarded_for_deny.conf;
然后在需要拦截的location里添加,如下
location / {
if ( $allowed = "deny" ) { return 403; }
proxy_pass .....;
}
如何动态添加ip至deny_ip.conf配置文件?
结合之前那篇的配置nginx配置动态黑名单
修改为
echo "~\s*$line$ deny;" >> $blockfile/deny_ip.conf
本文介绍如何在Nginx中配置动态黑名单功能,通过统计日志中的IP访问频率来封禁高频访问者。特别针对使用了WAF或F5等设备的情况,详细解释了如何正确识别并封禁客户端真实IP。

2437

被折叠的 条评论
为什么被折叠?



