nginx动态黑名单配置2

本文介绍如何在Nginx中配置动态黑名单功能,通过统计日志中的IP访问频率来封禁高频访问者。特别针对使用了WAF或F5等设备的情况,详细解释了如何正确识别并封禁客户端真实IP。

之前写过关于nginx配置动态黑名单功能
原理是查询日志,统计某段时间内访问次数很频繁的ip,对ip进行封禁

如果在nginx之前有WAF,F5设备,remote_addr 的地址是WAF、F5的地址, 客户端真实的IP地址是在
http_x_forwarded_for中的, 这样这样 nginx 默认的 deny 和 allow 就不能用了。

我们定义一个 map 拒绝的 IP 地址列表。cat x_forwarded_for_deny.conf

map $http_x_forwarded_for $allowed {
    default allow;
    #~\s*192.168.0.100$ deny;   # 拒绝一个IP地址
    #~\s*192.168.0.\d+$ deny;    #  拒绝一个网段IP地址
    include deny_ip.conf;
}

这个deny_ip.conf就是需要禁止的ip,内容参考上面注释的两行,例如

~\s*192.168.1.123$ deny;
~\s*127.20.3.4$ deny;

然后在nginx默认配置文件nginx/conf/nginx.conf里引入这个x_forwarded_for_deny.conf文件

include x_forwarded_for_deny.conf;

然后在需要拦截的location里添加,如下

location / {
        if ( $allowed = "deny" ) { return 403; }
        proxy_pass    .....;
   }

如何动态添加ip至deny_ip.conf配置文件?
结合之前那篇的配置nginx配置动态黑名单

修改为

echo "~\s*$line$ deny;" >> $blockfile/deny_ip.conf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值