当前位置:首页 > VPS > 正文内容

nginx 禁止外国ip地址访问同时放行内网ip

ym023012个月前 (05-05)VPS403

前言

处于安全性考虑,网站需要屏蔽国外IP的访问,仅开放内网和国内网络访问。
nginx原来的geo模块ngx_http_geoip已经因为太老而被抛弃了,官方也停止了数据库的维护和更新,推荐使用更新的ngx_http_geoip2替换。

1、安装 libmaxminddb

源码编译安装

官方地址: https://github.com/maxmind/libmaxminddb , 在里面找到最新的版本下载

wget https://github.com/maxmind/libmaxminddb/releases/download/1.7.1/libmaxminddb-1.7.1.tar.gz
tar -xf libmaxminddb-1.7.1.tar.gz
cd libmaxminddb 
./configure 
make && make install 
sudo ldconfig

debian apt 安装

资料来源 https://packages.debian.org/source/buster/libmaxminddb
apt install libmaxminddb* mmdb-bin -y

rh系 yum安装

yum install libmaxminddb* mmdb-bin -y

FAQ

如果提示缺少libmaxminddb.so.0文件

sudo sh -c "echo /usr/local/lib  >> /etc/ld.so.conf.d/local.conf"
ldconfig

2、安装 ngx_http_geoip2_module

官方地址: https://github.com/leev/ngx_http_geoip2_module,找到需要的版本进行下载
这里服务器使用的是 lnmp.org 工具包

cd /root
wget https://github.com/leev/ngx_http_geoip2_module/archive/refs/tags/3.4.tar.gz
tar -xzf ngx_http_geoip2_module-3.4.tar.gz
mv ngx_http_geoip2_module-3.4 ngx_http_geoip2_module

然后在lnmp解压的目录下找到lnmp.conf 在里面找到nginx编译额外参数 添加

--add-module=/root/ngx_http_geoip2_module
最后使用 upgrade.sh 升级nginx即可

3、下载数据文件

登录 https://www.maxmind.com/ 如果没有帐号,先注册一个
然后在网站左侧找到 Download Files ,在里面找到GeoLite2 Country ,下载回来解压是一个mmdb文件,放到
/usr/local/geoip/GeoLite2-Country.mmdb

4、配置nginx

在nginx.conf中,http区段添加如下代码

geoip2 /usr/local/geoip/GeoLite2-Country.mmdb {
	auto_reload 5m;
	$geoip2_data_country_code country iso_code;
}
map $geoip2_data_country_code $allowed_country {
	default no;
	CN yes;
}

在server区段添加

set $flag 0;
# 放行内网
if ($remote_addr ~* (127.0.0.\d|10.\d+.\d+.\d+|172.16.\d+.\d+|192.168.\d+.\d+)) {
        set $flag "${flag}1";
}
# 放行自己的服务器
if ($remote_addr ~* (你的国外VPS的ip1|你的国外VPS的ip2)) {
	set $flag "${flag}1";
}
# 屏蔽外国IP访问
if ($allowed_country = no) {
	set $flag "${flag}0";
}
# 放行国内
if ($allowed_country = yes) {
	set $flag "${flag}1";
}
# 最后判断国外来源排除本地IP 强制跳转到一个其他网页
if ($flag = "00") {
	rewrite . http://1.1.1.1;
}

重启nginx 注意是重启不是重载,否则可能会不生效


扫描二维码推送至手机访问。

版权声明:本文由嘉睿博客发布,如需转载请注明出处。

本文链接:https://tius.cc/?id=24

标签: nginxgeoip安全
分享给朋友:
返回列表

上一篇:通过Nginx反代实现X-ui 面板和宝塔面板共存,支持多网站,多节点

没有最新的文章了...

“nginx 禁止外国ip地址访问同时放行内网ip” 的相关文章

原版BBR/魔改BBR/BBR Plus/锐速(Lotserver)四合一脚本/一键安装

原版BBR/魔改BBR/BBR Plus/锐速(Lotserver)四合一脚本/一键安装

简介在 Chikage 的脚本基础上加了 bbrplus 的内核切换与BBR加速安装BBR是来自于Google的黑科技,目的是通过优化和控制TCP的拥塞,充分利用带宽并降低延迟,起到神奇般的加速效果。在BBR出来之前,就只有锐速比较好用,但是锐速是一个国产的闭源软件。有些朋友会担心是否会有有害代码的...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。

本站内容除标明原创外来源于互联网,如果有侵权内容、不妥之处,请第一时间联系我们删除。敬请谅解!

Copyright © 2023 嘉睿博客 版权所有E-mail:ym0230@gmail.com

Powered By Z-BlogPHP. Theme by TOYEAN.