Nginx 如何封禁IP和IP段

最新推荐文章于 2025-11-10 21:13:15 发布
原创 最新推荐文章于 2025-11-10 21:13:15 发布 · 5.1k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #tcp/ip #运维

本文介绍如何使用 Nginx 进行 IP 和 IP 段的禁用、仅允许内网 IP 的设置方法及自定义 403 页面。

文章目录

前言

Nginx不仅仅只是一款反向代理和负载均衡服务器,它还能提供很多强大的功能,例如:限流、缓存、黑白名单和灰度发布等等。在之前的文章中,我们已经介绍了Nginx提供的这些功能。今天,我们来介绍Nginx另一个强大的功能:禁用IP和IP段。

1、禁用IP和IP段

Nginx的ngx_http_access_module 模块可以封配置内的ip或者ip段,语法如下:

deny IP;
deny subnet;
allow IP;
allow subnet;
# block all ips
deny    all;
# allow all ips
allow    all;

如果规则之间有冲突,会以最前面匹配的规则为准。

2、配置禁用ip和ip段

下面说明假定nginx的目录在/usr/local/nginx/。

首先要建一个封ip的配置文件blockips.conf,然后vi blockips.conf编辑此文件,在文件中输入要封的ip。

deny 1.2.3.4;
deny 91.212.45.0/24;
deny 91.212.65.0/24;

然后保存此文件,并且打开nginx.conf文件,在http配置节内添加下面一行配置:

include blockips.conf;

保存nginx.conf文件,然后测试现在的nginx配置文件是否是合法的:

/usr/local/nginx/sbin/nginx -t

如果配置没有问题,就会输出:

the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
configuration file /usr/local/nginx/conf/nginx.conf test is successful

如果配置有问题就需要检查下哪儿有语法问题,如果没有问题,需要执行下面命令,让nginx重新载入配置文件。

/usr/local/nginx/sbin/nginx -s reload

3、仅允许内网ip

如何禁止所有外网ip,仅允许内网ip呢?

如下配置文件

location / {
  # block one workstation
  deny    192.168.1.1;
  # allow anyone in 192.168.1.0/24
  allow   192.168.1.0/24;
  # drop rest of the world
  deny    all;
}cd /usr/local/nginx/html
vi error403.html

上面配置中禁止了192.168.1.1,允许其他内网网段,然后deny all禁止其他所有ip。

4、格式化nginx的403页面

如何格式化nginx的403页面呢?

首先执行下面的命令:

cd /usr/local/nginx/html
vi error403.html

然后输入403的文件内容,例如:

<html> 
<head><title>Error 403 - IP Address Blocked</title></head> 
<body> 
Your IP Address is blocked. If you this an error, please contact binghe with your IP at test@binghe.com
</body> 
</html>

如果启用了SSI,可以在403中显示被封的客户端ip,如下:

Your IP Address is <!--#echo var="REMOTE_ADDR" --> blocked.

保存error403文件,然后打开nginx的配置文件vi nginx.conf,在server配置节内添加下面内容。

# redirect server error pages to the static page
 error_page 403 /error403.html;
 location = /error403.html {
         root html;
 }

然后保存配置文件,通过nginx -t命令测试配置文件是否正确,若正确通过nginx -s reload载入配置。

Nginx:实现动态封禁 IP 的技术指南
木头
01-16 1998
文章摘要: 本文介绍了通过NGINX实现动态封禁IP的两种主流方案: Fail2Ban方案:通过监控NGINX日志自动封禁恶意IP,配置包括安装Fail2Ban、设置日志格式、定义过滤规则及启动服务。 NGINX限流模块+Redis:利用limit_req_zone限制请求频率,结合Redis与Lua脚本实现动态IP封禁,脚本示例展示如何基于请求次数触发封禁。 两种方法均能有效防御DDoS恶意爬虫,可根据实际需求选择或组合使用,提升网站安全性。适合运维人员快速部署防护策略。
基于nginx禁用访问ip
xinpz的博客
08-22 1609
基于nginx快速禁用访问ip
Nginx设置禁止某个/某IP访问
flower的博客
11-04 1914
Nginx的ngx_http_access_module 模块可以封配置内的ip或者ip 语法: deny IP; (注:分号是必须的) 拒绝 某个或某ip访问 例如; deny 127.1.1.1 或 deny 127.1.1.1/24后者为一个ipallow IP; 允许 某个或某ip访问那么问题来了我们实际当中是如何使用的呢?下面来具体说一下。 比如我的
Nginx】如何封禁IPIP?看完这篇我会了!!
l081499的博客
07-15 1408
写在前面 Nginx不仅仅只是一款反向代理负载均衡服务器,它还能提供很多强大的功能,例如:限流、缓存、黑白名单灰度发布等等。在之前的文章中,我们已经介绍了Nginx提供的这些功能。今天,我们来介绍Nginx另一个强大的功能:禁用IPIP禁用IPIP Nginx的ngx_http_access_module 模块可以封配置内的ip或者ip,语法如下: deny IP; ...
如何在Nginx中实现动态封禁IP?三种主流方案
最新发布
码到三十五
11-10 6295
本文对比了三种Nginx动态封禁IP的方案:1)原生Nginx通过geomap模块结合配置文件,需reload生效;2)OpenResty+Lua实现毫秒级实时封禁,支持API管理;3)fail2ban基于日志分析自动封禁,适合防御扫描爆破。方案一简单可靠但需reload,方案二适合自动化系统,方案三适用于安全防护场景。建议根据实际需求选择:手动封禁选方案一,程序化调用选方案二,自动防御选方案三。
Nginx禁用IPIP
baidu_35160588的博客
08-16 1954
Nginx禁用IP
Nginx自动封禁可疑Ip
Shawn的个人博客
02-18 3569
在网站维护过程中,有时候我们需要对一些IP地址或是一些IP进行封锁拉黑,使其不能访问网站。如果你的网站服务器的网站运行环境是由nginx搭建的,那么nginx中禁止ip的方法可以有效的防止网站被黑。AWK统计access.log(/var/log/nginx/),记录每分钟访问超过60次的ip,然后配合nginx进行封禁编写shell脚本crontab定时跑脚本。
Nginx如何封禁IPIP的实现
09-29
总结以上步骤,我们学习了如何在Nginx封禁IPIP,以及如何自定义403错误页面。这些操作不仅可以保护网站不受恶意访问的影响,还可以通过友好的错误提示提升用户体验。Nginx的灵活性强大配置功能是它成为业界...
Nginx动态封禁IP全解析:3种方案从入门到精通,附完整配置与性能优化
srlsong的博客
11-01 962
文章摘要:本文详细介绍了基于Nginx实现动态IP封禁的三种核心方案。方案一通过deny指令实现临时封禁,适合应急场景;方案二采用独立黑名单文件管理批量IP封禁,适用于长期防护;方案三利用Lua脚本实现自动封禁高频恶意IP,支持智能拦截。文章包含详细配置步骤、性能优化建议混合防护策略,并提供了高级扩展方案如结合fail2ban自动封禁、集群同步等。最后总结了最佳实践,帮助构建从简单到智能的完整IP防护体系,有效抵御恶意攻击。
Nginx 动态封禁 IP 实战指南
一起修行,不孤单。这里有编程语言、开发工具、学习方法论和踩坑笔记。用简单的话说复杂的事,陪你从小白到进阶。周更干货,欢迎一起成长!
10-13 959
Fail2ban:日志驱动,适合单机简单场景;:高性能实时黑名单,适合分布式大规模业务;Nginx 内置模块:原生限流/限连,适合应对 CC 攻击。单机 →Fail2ban + 内置限流分布式/高并发 →Lua + Redis + 内置限流这样既能快速见效,又能兼顾长期扩展性。
Nginx服务器上屏蔽IP的一些基本配置方法分享
weixin_33974433的博客
12-01 433
这篇文章主要介绍了在Nginx服务器上屏蔽IP的一些基本配置方法分享,包括对过多访问的IP配置脚本屏蔽等一些小技巧,的朋友可以参考下.采集防止采集是一个经久不息的话题,一方面都想搞别人的东西,另一方面不想自己的东西被别人搞走。本文介绍如何利用nginx屏蔽ip来实现防止采集,当然也可以通过iptable来实现。1.查找要屏蔽的ipawk '{print $1}' ngin...
nginx禁用ip方法
热门推荐
php-yyds
07-07 1万+
这样,当IP地址为192.168.1.100的客户端的连接数超过1或请求频率超过10个请求/秒时,Nginx将限制其访问。通过以上几种方法,可以在Nginx中有效地禁用特定IP的访问。指令的组合来限制IP访问。指令来禁止特定IP的访问。这样,除了IP地址为192.168.1.100的请求之外,其他IP地址都将被允许访问。指令来限制特定IP的连接数请求频率。这些指令可以在Nginx的配置文件中的。指令来禁止特定IP的访问外,还可以使用HTTP模块的。指令:在Nginx的配置文件中,可以使用。
nginx封禁恶意IP
2302_76363587的博客
05-02 693
为了数据安全,防止对手爬虫恶意爬取,封禁IP
【详解】Nginx如何封禁IPIP
牛肉胡辣汤
05-12 1718
在某些情况下,你可能需要封禁特定的 IP 地址或 IP ,以防止恶意访问或保护服务器资源。在Web服务器的日常管理中,有时需要对特定的IP地址或IP进行访问限制,以保护网站的安全。这样,Nginx 就会根据新的配置文件进行操作,封禁指定的 IP 地址或 IP 。在Nginx中,封禁特定的IP地址或IP可以通过修改Nginx的配置文件来实现。或者,如果你使用的是不同的系统管理工具,可以使用相应的命令来重新加载Nginx。对于需要封禁多个IP的情况,可以使用Nginx的Geo模块来简化配置。
Nginx 禁用IP IP
weixin_34289454的博客
06-07 261
最近公司网站被竞争对手用爬虫频繁访问,所以我们这边要禁止这些爬虫访问,我们通过nginx 指令就可以实现了方法一:直接在LB机器上封IP1.在 blocksip.conf 文件中加入要屏蔽的ip或者ip端$sudovim/etc/nginx/blocksip.conf deny180.168.74.26; deny91.212.45.0/24;2. 在nginx....
Nginx Openresty通过Lua+Redis 实现动态封禁IP
乐辞的博客
11-27 2628
为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单。对于黑名单中的 IP ,我们将拒绝提供服务。并且可以设置封禁失效时间
Ngnix 实现IP封禁以及自动封禁IP
yuechuzhixing的博客
01-05 466
Ngnix IP封禁以及实现自动封禁IP
一些Nginx的配置及nginx配置禁止ip访问
weixin_50003028的博客
07-22 2180
这里注意,Nginx语法不支持if条件的逻辑与&&逻辑或|| 运算 ,而且不支持if的嵌套语法。需要借助变量来实现嵌套语法或多条件判断。-e 用来判断是否存在文件或目录。-x 用来判断文件是否可执行。-f 用来判断是否存在文件。-d 用来判断是否存在目录。1、配置if判断,控制访问仅是这个域名。~* 不区分大小写不匹配。~* 不区分大小写匹配。~ 区分大小写不匹配。~ 区分大小写匹配。
Nginx#封禁IP
日常工作记录,解决实际问题,不成体系。
02-06 380
操作一: AWK统计access.log,记录每分钟访问超过600次的ip。1.在ngnix的conf目录下创建一个blockip.conf文件。3.在nginx的HTTP的配置中添加如下内容。5.然后你就会看到IP封禁了,你会喜提403。2.里面放需要封禁IP,格式如下。4.重启 ngnix。
根据nginx日志封禁ip
09-03
根据nginx日志封禁IP有以下几种方法: ### 脚本方法 通过脚本可以查询出nginx日志中访问量异常的IP进行封禁,这里采用`iptables`工具。示例脚本如下: ```bash #!/bin/bash #nginx日志位置 nginx_access_log=/var/log/nginx/access.log ip=/var/log/nginx/ip.txt #一分钟内ip访问量统计排序 cat /var/log/nginx/access.log | grep `date -d "1 minutes ago" +"%Y-%m-%d"T"%H:%M"`|awk -F '"' '{ print $8 }' |sort |uniq -c |sort -rn > ip.txt for i in `awk '{print $1}' ip.txt` do if [ $i -gt 500 ]; then #设置的阈值为一分钟500 denyip=`grep $i ip.txt | awk '{print $2}'` iptables -I INPUT -s $denyip -j DROP echo $denyip > denyip.txt fi done ``` 该脚本的作用是统计一分钟内访问量超过500次的IP,并使用`iptables`将其封禁,同时将封禁IP记录到`denyip.txt`文件中 [^1]。 ### 配置nginx.conf 在`nginx.conf`中增加配置,实现异常IP拦截。示例配置如下: ```nginx log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for""$upstream_addr"'; access_log /var/log/nginx/access.log main; ``` 此配置主要是定义了日志格式并指定了日志的存储路径 [^2]。 ### 实时封禁方法 可采用`filebeat+redis`的方案进行Nginx日志收集,实时消费redis的日志,解析出需要的数据进行分析。对IP进行风险评估时可从多个维度,如访问次数、IP归属、用途等,采用`iptables+ipset`的方式进行IP封禁封禁IP部分代码如下: ```javascript 'use strict'; const express = require('express'); const shell = require('shelljs'); const router = express.Router(); router.post('/blacklist/:name/:ip', function (req, res, next) { let name = req.params.name; let ip = req.params.ip; let timeout = req.query.timeout; let cmd = `ipset -exist add ${name} ${ip} timeout ${timeout}`; console.log(cmd); shell.exec(cmd); res.send('ok\n'); }); module.exports = router; ``` 这里使用`ipset`命令将风险IP添加到指定的黑名单中,并设置封禁时长 [^4][^5]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值