【Nginx】如何在 Nginx 中阻止来自特定国家的 IP 地址访问

文章目录

  • 前言
  • 一、准备工作
  • [二、查看 Nginx 服务器都拥有哪些模块](#二、查看 Nginx 服务器都拥有哪些模块)
    • [2.1 先查看本地nginx是否有ngx_http_geoip2模块](#2.1 先查看本地nginx是否有ngx_http_geoip2模块)
    • [2.2 安装nginx并配置ngx_http_geoip2模块](#2.2 安装nginx并配置ngx_http_geoip2模块)
      • 2.2.1下载所需版本的nginx到服务器
      • [2.2.2 先安装所需依赖](#2.2.2 先安装所需依赖)
      • [2.2.3 解压文件](#2.2.3 解压文件)
      • [2.2.4 下载ngx_http_geoip2模块](#2.2.4 下载ngx_http_geoip2模块)
      • [2.2.5 编译安装nginx并指定ngx_http_geoip2_module所在目录](#2.2.5 编译安装nginx并指定ngx_http_geoip2_module所在目录)
      • [2.2.6 编译安装](#2.2.6 编译安装)
    • [3.1 加载 IP 地理位置数据库](#3.1 加载 IP 地理位置数据库)
    • [3.2 配置拦截规则](#3.2 配置拦截规则)
    • [3.3 应用拦截规则](#3.3 应用拦截规则)
    • [3.4 重新加载 Nginx](#3.4 重新加载 Nginx)
  • 总结

前言

在网络安全方面,有时你可能需要限制特定国家或地区的访问权限。本文将介绍如何使用 Nginx 配置文件来阻止来自特定国家或地区的 IP 地址访问你的网站。

一、准备工作

首先,确保你的 Nginx 服务器已经安装并正确配置ngx_http_geoip2 模块。另外,你需要获取一个 IP 地理位置数据库文件,通常是 GeoLite2 数据库,以便识别 IP 地址所属的国家或地区。具体步骤如下:

二、查看 Nginx 服务器都拥有哪些模块

2.1 先查看本地nginx是否有ngx_http_geoip2模块

go 复制代码
nginx -V

没有我们所需的模块,如果有的同学有该模块可以直接跳到下面直接配置nginx服务

在 Nginx 的配置文件中,添加以下代码以加载 IP 地理位置数据库文件:

2.2 安装nginx并配置ngx_http_geoip2模块

本次使用的nginx是编译安装的方式,如果能找到本地的nginx编译的文件在哪就不用重新下载nginx,如果找不到请重新编译安装

2.2.1下载所需版本的nginx到服务器

下载地址

2.2.2 先安装所需依赖

go 复制代码
yum install -y libmaxminddb-devel pcre-devel zlib-devel gcc gcc-c++ make git

2.2.3 解压文件

go 复制代码
tar -xvzf nginx-1.24.0.tar.gz

2.2.4 下载ngx_http_geoip2模块

在服务上下载模块

go 复制代码
git clone https://github.com/leev/ngx_http_geoip2_module.git

2.2.5 编译安装nginx并指定ngx_http_geoip2_module所在目录

切换到nginx所在目录

go 复制代码
./configure --prefix=/nginxtest \
    --user=nginx \
    --group=nginx \
    --with-pcre \
    --with-http_ssl_module \
    --with-http_v2_module \
    --with-http_realip_module \
    --with-http_addition_module \
    --with-http_sub_module \
    --with-http_dav_module \
    --with-http_flv_module \
    --with-http_mp4_module \
    --with-http_gunzip_module \
    --with-http_gzip_static_module \
    --with-http_random_index_module \
    --with-http_secure_link_module \
    --with-http_stub_status_module \
    --with-http_auth_request_module \
    --with-http_image_filter_module \
    --with-http_slice_module \
    --with-mail \
    --with-threads \
    --with-file-aio \
    --with-stream \
    --with-mail_ssl_module \
    --with-stream_ssl_module \
    --add-module=/usr/local/ngx_http_geoip2_module

解释一下参数的含义

当你运行./configure时,你正在配置nginx的编译选项。以下是每行命令的解释:

--prefix=/nginxtest: 指定nginx的安装目录为/nginxtest,这意味着nginx将安装到该目录下。

--user=nginx: 指定nginx运行时的用户为nginx,这是为了增加安全性,以防止nginx以超级用户权限运行。

--group=nginx: 指定nginx运行时的用户组为nginx,与上述相似,也是为了增加安全性。

--with-pcre: 启用PCRE(Perl Compatible Regular Expressions)库,用于支持正则表达式。

--with-http_ssl_module: 启用HTTP SSL模块,支持HTTPS协议。

--with-http_v2_module: 启用HTTP/2模块,支持HTTP/2协议。

--with-http_realip_module: 启用HTTP RealIP模块,允许nginx在代理模式下获取真实的客户端IP地址。

--with-http_addition_module: 启用HTTP Addition模块,允许在响应中添加内容。

--with-http_sub_module: 启用HTTP Substitution模块,允许在响应中替换内容。

--with-http_dav_module: 启用HTTP DAV(WebDAV)模块,支持WebDAV协议。

--with-http_flv_module: 启用HTTP FLV模块,支持Flash视频流。

--with-http_mp4_module: 启用HTTP MP4模块,支持MP4视频流。

--with-http_gunzip_module: 启用HTTP GUNZIP模块,用于解压缩响应中的gzip压缩数据。

--with-http_gzip_static_module: 启用HTTP Gzip Static模块,用于在发送静态文件时压缩数据。

--with-http_random_index_module: 启用HTTP Random Index模块,允许nginx在目录中选择一个随机文件作为索引。

--with-http_secure_link_module: 启用HTTP Secure Link模块,用于生成带有安全签名的URL。

--with-http_stub_status_module: 启用HTTP Stub Status模块,允许监控nginx的状态信息。

--with-http_auth_request_module: 启用HTTP Auth Request模块,允许在需要认证时向另一个服务器发送认证请求。

--with-http_image_filter_module: 启用HTTP Image Filter模块,允许对图像进行处理。

--with-http_slice_module: 启用HTTP Slice模块,允许nginx按指定大小切片响应。

--with-mail: 启用邮件代理服务器功能。

--with-threads: 启用线程支持。

--with-file-aio: 启用文件异步IO支持。

--with-stream: 启用TCP/UDP流代理功能。

--with-mail_ssl_module: 启用邮件SSL模块,支持SSL加密的邮件传输。

--with-stream_ssl_module: 启用流SSL模块,支持SSL加密的TCP/UDP流。

--add-module=/usr/local/ngx_http_geoip2_module: 添加额外的模块ngx_http_geoip2_module,该模块用于GeoIP2地理定位功能。

2.2.6 编译安装

添加 nginx 模块,只需要编译,然后 make。不需要 make instll,不然线上的 nginx 会被新版本 nginx 完完整整的替换掉。完成后只需要覆盖替换就可以

go 复制代码
make -j2 && make install #安装,重新安装的需要make install

结束查看一下是否安装成功

go 复制代码
ln -s /nginxtest/nginx/sbin/nginx /usr/local/sbin/ #让系统识别nginx的操作命令
nginx- V

三、添加拦截规则配置

先下载 IP 地理位置数据库文件

3.1 加载 IP 地理位置数据库

go 复制代码
nginx
http {
    # 加载 GeoIP 数据库文件
     geoip2 /path/to/GeoLite2-Country.mmdb { # 指定 GeoIP2 数据库文件路径
        auto_reload 60m; # 每 60 分钟自动重新加载数据库文件
        $geoip2_metadata_country_build metadata build_epoch; # 获取数据库元数据
        $geoip2_data_country_code country iso_code; # 获取 IP 所属国家的 ISO 代码
    }
}

3.2 配置拦截规则

在配置文件中添加拦截规则,指定你要阻止的国家或地区。以下是一个示例:

go 复制代码
nginx
http {
    # 设置拦截规则
    map $geoip2_data_country_code $allowed_country {
        default yes; # 默认情况下允许访问
        CN no; # 指定中国 IP 地址不被拦截
    }
}

3.3 应用拦截规则

在你的服务器块或虚拟主机配置中,使用 if 指令结合上述定义的 map 指令来应用拦截规则:

go 复制代码
nginx
server {
    listen 80;
    server_name example.com;

    if ($allowed_country = yes) { # 如果 IP 地址所属国家被标记为不允许访问
        return 403; # 返回 403 Forbidden 错误页面
    }

    # 其他配置项
}

3.4 重新加载 Nginx

完成配置后,重新加载或重启 Nginx 以使更改生效:

go 复制代码
nginx -s reload

这样配置后,Nginx 将会拦截来自指定国家或地区的 IP 请求,并返回 403 Forbidden 错误页面。

总结

通过简单的 Nginx 配置,你可以有效地限制来自特定国家或地区的 IP 地址访问你的网站。这种措施有助于加强你的网络安全,保护你的服务器免受潜在的恶意攻击。

相关推荐
上海文顺负载箱11 分钟前
如何评估焊机测试负载均衡性能
运维·负载均衡
不爱学习的YY酱1 小时前
【计网不挂科】计算机网络期末考试——【选择题&填空题&判断题&简述题】试卷(4)
网络·计算机网络
装睡的小5郎1 小时前
家庭宽带如何开启公网ipv4和ipv6
网络
yfs10241 小时前
压缩Minio桶中的文件为ZIP,并通过 HTTP 响应输出
网络·网络协议·http
有谁看见我的剑了?1 小时前
Ubuntu 22.04.5 配置vlan子接口和网桥
服务器·网络·ubuntu
hgdlip1 小时前
有什么办法换网络ip动态
网络·tcp/ip·智能路由器
铁锤妹妹头发多1 小时前
新手用docker真**难受
运维·docker·容器
超栈1 小时前
HCIP(11)-期中综合实验(BGP、Peer、OSPF、VLAN、IP、Route-Policy)
运维·网络·网络协议·计算机网络·web安全·网络安全·信息与通信
Cachel wood1 小时前
Github配置ssh key原理及操作步骤
运维·开发语言·数据库·windows·postgresql·ssh·github
დ旧言~1 小时前
【网络】应用层——HTTP协议
开发语言·网络·网络协议·http·php