nginx域名訪問的白名單配置梳理

散盡浮華發表於2016-11-21

 

在日常運維工作中,會碰到這樣的需求:設定網站訪問只對某些ip開放,其他ip的客戶端都不能訪問。可以通過下面四種方法來達到這種效果:
1)針對nginx域名配置所啟用的埠(比如80埠)在iptables裡做白名單,比如只允許100.110.15.16、100.110.15.17、100.110.15.18訪問.但是這樣就把nginx的所有80埠的域名訪問都做了限制,範圍比較大!

[root@china ~]# vim /etc/sysconfig/iptables
......
-A INPUT -s 100.110.15.16 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -s 100.110.15.17 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -s 100.110.15.18 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

2)如果只是針對nginx下的某一個域名進行訪問的白名單限制,那麼可以在nginx的配置檔案裡進行設定,利用$remote_addr引數進行訪問的分發限制,如下:

[root@china vhosts]# cat testwww.wangshibo.com.conf 
server {
        listen       80;
        server_name  testwww.wangshibo.com;
        root /var/www/vhosts/testwww.wangshibo.com/httpdocs/main;


        access_log  /var/www/vhosts/testwww.wangshibo.com/logs/access.log  main;
        error_log  /var/www/vhosts/testwww.wangshibo.com/logs/error.log;


        ##白名單設定,只允許下面三個來源ip的客戶端以及本地能訪問該站。主要是下面這三行
        if ($remote_addr !~ ^(100.110.15.16|100.110.15.17|100.110.15.18|127.0.0.1)) {
         rewrite ^.*$ /maintence.php last;
        }

        location / {
            try_files $uri $uri/ @router;
            index  index.php;
        }
    

        error_page   500 502 503 504  /50x.html;

        location @router {
            rewrite ^.*$ /index.php last;
        }


        location ~ \.php$ {
            fastcgi_pass   127.0.0.1:9001;
            fastcgi_read_timeout 30;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
            #include        fastcgi_params;
            include        fastcgi.conf;
        }

    } 


錯誤頁面內容設定:
[root@china vhosts]# cat /var/www/vhosts/testwww.wangshibo.com/main/maintence.html 
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
</head>
<body>
網站臨時維護中,請稍後訪問...
</body>
</html>

3)也可以使用$http_x_forwarded_for引數進行訪問的分發限制,如下:

server {
        listen       80;
        server_name  testwww.wangshibo.com;
        root /var/www/vhosts/testwww.wangshibo.com/httpdocs/main;


        access_log  /var/www/vhosts/testwww.wangshibo.com/logs/access.log  main;
        error_log  /var/www/vhosts/testwww.wangshibo.com/logs/error.log;


  ##白名單設定,只允許下面三個來源ip的客戶端以及本地能訪問該站。
       if ($http_x_forwarded_for !~ ^(100.110.15.16|100.110.15.17|100.110.15.18|127.0.0.1)) {
           rewrite ^.*$  /maintence.php last;
        }
        
        
        location / {
            try_files $uri $uri/ @router;
            index  index.php;
        }
    

        error_page   500 502 503 504  /50x.html;

        location @router {
            rewrite ^.*$ /index.php last;
        }


        location ~ \.php$ {
            fastcgi_pass   127.0.0.1:9001;
            fastcgi_read_timeout 30;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
            #include        fastcgi_params;
            include        fastcgi.conf;
        }

    } 

4)還可以利用nginx的allow、deny引數進行訪問限制

[root@china vhosts]# cat testwww.wangshibo.com.conf 
server {
        listen       80;
        server_name  testwww.wangshibo.com;
        root /var/www/vhosts/testwww.wangshibo.com/httpdocs/main;


        access_log  /var/www/vhosts/testwww.wangshibo.com/logs/access.log  main;
        error_log  /var/www/vhosts/testwww.wangshibo.com/logs/error.log;

        ##白名單設定,只允許下面三個來源ip的客戶端以及本地能訪問該站。
        allow 100.110.15.16;
        allow 100.110.15.17;
        allow 100.110.15.18;
        allow 127.0.0.1;
        deny all;

        location / {
            try_files $uri $uri/ @router;
            index  index.php;
        }
    

        error_page   500 502 503 504  /50x.html;

        location @router {
            rewrite ^.*$ /index.php last;
        }


        location ~ \.php$ {
            fastcgi_pass   127.0.0.1:9001;
            fastcgi_read_timeout 30;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
            #include        fastcgi_params;
            include        fastcgi.conf;
        }

    } 

---------------------------------nginx中remote_addr和x_forwarded_for引數使用說明---------------------------------

做網站時經常會用到remote_addr和x_forwarded_for這兩個頭資訊來獲取客戶端的IP,然而當有反向代理或者CDN的情況下,這兩個值就不夠準確了,需要調整一些配置。

1)什麼是remote_addr
remote_addr代表客戶端的IP,但它的值不是由客戶端提供的,而是服務端根據客戶端的ip指定的,當你的瀏覽器訪問某個網站時,假設中間沒有任何代理,那麼網站的
web伺服器(Nginx,Apache等)就會把remote_addr設為你的機器IP,如果你用了某個代理,那麼你的瀏覽器會先訪問這個代理,然後再由這個代理轉發到網站,這樣web
伺服器就會把remote_addr設為這臺代理機器的IP。

2)什麼是x_forwarded_for
正如上面所述,當你使用了代理時,web伺服器就不知道你的真實IP了,為了避免這個情況,代理伺服器通常會增加一個叫做x_forwarded_for的頭資訊,把連線它的客戶
端IP(即你的上網機器IP)加到這個頭資訊裡,這樣就能保證網站的web伺服器能獲取到真實IP


-------------------使用HAProxy做反向代理----------------------
通常網站為了支撐更大的訪問量,會增加很多web伺服器,並在這些伺服器前面增加一個反向代理(如HAProxy),它可以把負載均勻的分佈到這些機器上。你的瀏覽器訪
問的首先是這臺反向代理,它再把你的請求轉發到後面的web伺服器,這就使得web伺服器會把remote_addr設為這臺反向代理的IP,為了能讓你的程式獲取到真實的客戶端
IP,你需要給HAProxy增加以下配置:

option forwardfor
它的作用就像上面說的,增加一個x_forwarded_for的頭資訊,把你上網機器的ip新增進去



------------------使用Nginx的realip模組--------------------
當Nginx處在HAProxy後面時,就會把remote_addr設為HAProxy的IP,這個值其實是毫無意義的,你可以通過nginx的realip模組,讓它使用x_forwarded_for裡的值。使用這
個模組需要重新編譯Nginx,增加--with-http_realip_module引數

set_real_ip_from   10.1.10.0/24;
real_ip_header     X-Forwarded-For;
上面的配置就是把從10.1.10這一網段過來的請求全部使用X-Forwarded-For裡的頭資訊作為remote_addr


------------------將Nginx架在HAProxy前面做HTTPS代理---------------
網站為了安全考慮通常會使用https連線來傳輸敏感資訊,https使用了ssl加密,HAProxy沒法直接解析,所以要在HAProxy前面先架臺Nginx解密,再轉發到HAProxy做負載均
衡。這樣在Web伺服器前面就存在了兩個代理,為了能讓它獲取到真實的客戶端IP,需要做以下配置。

首先要在Nginx的代理規則裡設定:
proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
這樣會讓Nginx的https代理增加x_forwarded_for頭資訊,儲存客戶的真實IP。

其次修改HAProxy的配置:
option     forwardfor except 10.1.10.0/24
這個配置和之前設定的差不多,只是多了個內網的IP段,表示如果HAProxy收到的請求是由內網傳過來的話(https代理機器),就不會設定x_forwarded_for的值,保證後面的
web伺服器拿到的就是前面https代理傳過來的。



-----------------為什麼PHP裡的HTTP_X_FORWARDED_FOR和Nginx的不一樣------------------
當你的網站使用了CDN後,使用者會先訪問CDN,如果CDN沒有快取,則回源站(即你的反向代理)取資料。CDN在回源站時,會先新增x_forwarded_for頭資訊,儲存使用者的真實IP,
而你的反向代理也會設定這個值,不過它不會覆蓋,而是把CDN伺服器的IP(即當前remote_addr)新增到x_forwarded_for的後面,這樣x_forwarded_for裡就會存在兩個值。
Nginx會使用這些值裡的第一個,即客戶的真實IP,而PHP則會使用第二個,即CDN的地址。為了能讓PHP也使用第一個值,你需要新增以下fastcgi的配置。

fastcgi_param HTTP_X_FORWARDED_FOR $http_x_forwarded_for;
它會把nginx使用的值(即第一個IP)傳給PHP,這樣PHP拿到的x_forwarded_for裡其實就只有一個值了,也就不會用第二個CDN的IP了。

忽略x_forwarded_for

其實,當你使用了Nginx的realip模組後,就已經保證了remote_addr裡設定的就是客戶端的真實IP,再看下這個配置

set_real_ip_from   10.1.10.0/24;
real_ip_header     X-Forwarded-For;
它就是把x_forwarded_for設為remote_addr,而nginx裡的x_forwarded_for取的就是其中第一個IP。

使用這些設定就能保證你的remote_addr裡設定的一直都是客戶端的真實IP,而x_forwarded_for則可以忽略了:)

---------------------------------下面簡單說明下nginx location匹配規則-------------------------------------------

location匹配命令
~   表示執行一個正則匹配,區分大小寫
~* 表示執行一個正則匹配,不區分大小寫
^~ 表示普通字元匹配,如果該選項匹配,只匹配該選項,不匹配別的選項,一般用來匹配目錄
=    進行普通字元精確匹配
@   定義一個命名的 location,使用在內部定向時,例如 error_page, try_files

=字首的指令嚴格匹配這個查詢。如果找到,停止搜尋。
所有剩下的常規字串,最長的匹配。如果這個匹配使用^〜字首,搜尋停止。
正規表示式,在配置檔案中定義的順序。
如果第3條規則產生匹配的話,結果被使用。否則,如同從第2條規則被使用。

location 匹配的優先順序(與location在配置檔案中的順序無關)
= 精確匹配會第一個被處理。如果發現精確匹配,nginx停止搜尋其他匹配。
普通字元匹配,正規表示式規則和長的塊規則將被優先和查詢匹配,也就是說如果該項匹配還需去看有沒有正規表示式匹配和更長的匹配。
^~ 則只匹配該規則,nginx停止搜尋其他匹配,否則nginx會繼續處理其他location指令。
最後匹配理帶有"~"和"~*"的指令,如果找到相應的匹配,則nginx停止搜尋其他匹配;當沒有正規表示式或者沒有正規表示式被匹配的情況下,那麼匹配程度最高的逐字匹配指令會被使用。 
location = / {                     # 只匹配"/".
[ configuration A ] 
}

location / {                        # 匹配任何請求,因為所有請求都是以"/"開始,但是更長字元匹配或者正規表示式匹配會優先匹配
[ configuration B ] 
}

location ^~ /images/ {           # 匹配任何以 /images/ 開始的請求,並停止匹配 其它location
[ configuration C ] 
}

location ~* \.(gif|jpg|jpeg)$ {         # 匹配以 gif, jpg, or jpeg結尾的請求. 但是所有 /images/ 目錄的請求將由 [Configuration C]處理. 
[ configuration D ] 
}

相關文章