Nginx的四层代理stream模块限制白名单配置方案

原创 已于 2025-12-09 18:50:10 修改 · 376 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #运维

于 2025-12-09 09:48:50 首次发布

目录

一. 核心配置步骤

二. 进阶配置与管理

三. 重要注意事项

四. Stream 模块和 HTTP 模块的主要区别

通过Nginx的stream模块限制白名单,可以有效控制哪些IP地址能够通过你配置的代理服务(如TCP/UDP)连接到后端服务器,这常用于数据库访问代理或内部服务暴露等场景,是重要的安全措施。

一. 核心配置步骤

实现白名单控制,主要依赖 ngx_stream_access_module模块的 allowdeny指令。

  1. 确认Nginx包含Stream模块

    Nginx的stream模块默认可能未启用。请使用 nginx -V命令检查输出中是否包含 --with-stream参数。如果没有,你需要重新编译Nginx并加入此参数。

  2. 配置语法与逻辑

    • allow: 允许指定的IP或网段访问。

    • deny: 拒绝指定的IP或网段访问。

    • 配置逻辑:规则是按顺序匹配的。一个常见的模式是 allow 可信IP; deny all;,这表示“只允许白名单内的IP,拒绝其他所有连接”。

  3. 编辑配置文件

    nginx.confhttp配置块之外,与它平级地添加stream块。一个基础的白名单配置示例如下:

    stream {
    # 定义白名单规则,允许特定IP和网段
    allow   188.188.1.188;
    allow   10.0.0.0/24;
    deny    all; # 拒绝所有非白名单IP

    server {
        listen     3306; # 代理服务监听端口
        proxy_pass backend_mysql:3306; # 后端服务器地址
    }
}

    在这个例子中,只有IP 188.188.1.18810.0.0.0/24网段的客户端能够通过本机的3306端口连接到后端MySQL服务。

二. 进阶配置与管理

当你熟悉基本用法后,可以考虑以下进阶操作来优化配置。

  • 精细化权限控制:你可以在不同的server块内设置独立的访问规则,实现端口级别的权限控制。

    stream {
    # 针对端口65000的服务设置白名单
    server {
        listen 65000;
        allow   192.168.33.200;
        allow   192.168.33.5;
        deny    all;
        proxy_pass 192.168.33.100:65000;
    }

    # 针对SSH服务(端口22)设置不同的白名单
    server {
        listen 65222;
        allow   10.10.14.0/24;
        deny    all;
        proxy_pass 192.168.33.100:22;
    }
}

  • 使用外部白名单文件:为了方便管理大量IP,可以将白名单列表写入单独的文件(如 white_80ip.conf),然后在主配置文件中用 include指令引入。

    # 在stream块或server块内
include /etc/nginx/white_ip.conf;

    white_ip.conf文件内容示例:

    allow 192.168.33.101;
allow 192.168.33.102;

  • 动态更新白名单:如果需要频繁变更白名单,可以编写简单的Shell脚本自动完成IP的添加、删除,并重载Nginx配置使其生效。

三. 重要注意事项

  • 规则顺序至关重要:Nginx遇到第一个匹配的allowdeny指令就会停止继续匹配。因此,应将更具体的规则放在前面

  • 模块可用性:确保你的Nginx在编译时包含了 --with-stream--with-stream_access_module模块。

  • 配置完要重载:修改并保存配置文件后,先使用nginx -t检查语法,然后使用 nginx -s reload命令让配置生效,避免重启服务。

四. Stream 模块和 HTTP 模块的主要区别

特性

Stream 模块 (四层代理)

HTTP 模块 (七层代理)

工作层级

传输层 (TCP/UDP)

应用层 (HTTP/HTTPS)

处理内容

IP 地址、端口、原始数据流

HTTP 方法、URL、请求头、Cookie 等

解析能力

不解析应用协议

深度解析和修改 HTTP 协议

性能开销

相对较低

相对较高

典型场景

数据库、邮件、DNS、自定义TCP/UDP服务代理

网站服务器、API 网关、反向代理

岚叔运维
关注
Nginx 配置 stream SSL 第四层 代理
adbc12256的博客
10-08 2087
场景:服务器F针对访问终端需要添加白名单操作,由到终端数量较多,所以用了一台代理服务器 P,在服务F中添加 服务器P IP地址的白名单,所有终端访问服务器P 由于我已经安装过 Nginx 所以只需要添加模块配置,这里先说明stream 四层代理的实现方式,(仅满足项目需要配置,其它配置项可百度参考相应的说明) 切换到安装目录下 [root@localhost nginx-1...
Nginx 反向代理使用配置说明
征客
07-19 2269
如果不及时清理会导致磁盘空间被“吃光”,因此我们需要一套完善的缓存清理机制去删除缓存,在之前的proxy_cache_path参数中有purger相关的选项,开启后可以帮我们自动清理缓存,但遗憾的是:purger系列参数只有商业版的NginxPlus才能使用,因此需要付费才可使用。相反,有些项目的业务对数据的实时性要求并不高,追求的则是更高的吞吐,那么则可以开启tcp_nopush配置项,这个配置就类似于“塞子”的意思,首先将连接塞住,使得数据先不发出去,等到拔去塞子后再发出去。
四层代理中还原真实客户端ngx_stream_realip_module
hello.reader
06-10 1199
`ngx_stream_realip_module` 在 Stream 层结合 `listen … proxy_protocol` 与 `set_real_ip_from`,自动将 PROXY Protocol 头中的客户端真实 IP/Port 注入 `$realip_remote_addr`、`$realip_remote_port`,并替换内置变量 `$remote_addr`。可用于精确限流、日志埋点和多级代理链路的源 IP 回溯,无需外部组件,轻松构建透明可观测的 TCP/UDP 网关。
Nginx终极配置指南:负载均衡、限流、反向代理、IP白名单、SSL、云原生、DNS解析、缓存加速全都有
热门推荐
码到三十五
10-14 4万+
本文深入解析Nginx配置优化全攻略,涵盖基础设置、核心功能、安全加固和性能优化四大模块。在基础配置部分,详细介绍了全局参数优化和事件模块调优技巧;核心功能部分重点讲解了反向代理和负载均衡的实战配置方法;安全加固章节提供了TLS加密、协议级防护等零信任实践方案;性能优化部分则从静态资源加速、缓存策略等方面展开。文章通过具体配置示例和参数说明,帮助开发者掌握Nginx配置精髓,所有内容均经过生产环境验证,具有极高的实用价值。
openfly:基于nginx的4层代理管理平台
NetRookieX的博客
06-22 603
openfly是基于nginx的4层代理管理平台
Nginx架构五之四层负载均衡
yangyanping20108的博客
05-23 1343
Nginx 四层负载均衡 Nginx里有一个stream模块,用来实现四层协议的转发、 代理、负载均衡等。stream模块的用法跟http的用法类似,允许我们配 置一组TCP或者UDP等协议的监听,然后通过proxy_pass来转发我们的 请求,通过upstream添加多个后端服务,实现负载均衡。 四层协议负载均衡的实现,一般都会用到LVS、HAProxy、F5等,要么 很贵要么配置很麻烦,而Nginx配置相对来说更简单,更能快速完成 工作。 ...
Nginx应用:配置文件详解、反向代理、负载均衡,做限流、缓存、黑白名单
琦彦
07-22 1378
Nginx应该是现在最火的web和反向代理服务器,没有之一。她是一款诞生于俄罗斯的高性能web服务器,尤其在高并发情况下,相较Apache,有优异的表现。那除了负载均衡,她还有什么其他的用途呢,下面我们来看下。 一、静态代理 Nginx擅长处理静态文件,是非常好的图片、文件服务器。 把所有的静态资源的放到nginx上,可以使应用动静分离,性能更好。 二、负载均衡 Nginx通过...
小菜狗的云计算之旅,学习NGINX正反向代理(详细操作步骤)
SH11HF的博客
07-06 1343
正向代理代理的是客户端正向代理是一个位于客户端和目标服务器之间的代理服务器(中间服务器)。为了从目标服务器取得内容,客户端向代理服务器发送一个请求,并且指定目标服务器,之后代理向目标服务器转发请求,将获得的内容返回给客户端反向代理代理的是服务端(由外到内)反向代理:(reverse proxy),指的是代理外网用户的请求到内部的指定的服务器,并将数据返回给用户的一种方式 客户端不直接与后端服务器进行通信,而是与反向代理服务器进行通信,隐藏了后端服务器的 IP 地址。
Nginx实现TCP代理转发及白名单配置指南
Nginx配置中,可以设置白名单限制只有特定的IP地址或网络能够访问代理服务。通过定义一个或多个allow指令来指定允许访问的地址,同时使用deny指令禁止其他所有地址的访问。白名单是一种网络安全机制,可以有效...
Nginx架构及配置详解
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
09-10 6451
概述 Nginx采用C进行编写,是俄罗斯程序员开发的一款轻量级的可构建Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器的软件, Nginx服务器是一个高性能的HTTP和反向代理web服务器,同时也可提供了IMAP/POP3/SMTP服务。nginx常用作跑静态和做负载反向代理,动态php交给apache处理,因后者比较稳定,jsp交给tomcat、resin或jboss。n......
Nginx服务器SSL的安全配置及CVE-2016-2183漏洞处理
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
03-05 1万+
概要 OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 本文主要阐述如何在nginx的web服务器上设置更强的SSL。不使用在SSL/TLS协议中易受攻击的SSLv3以及以下版本并且设置一个更强的密码套件,同时启用HSTS和HPKP,为在可能的情况下能够实现Forward Secrecy。 配置文件及对应安全选项说明 1)配置文件位置,默认ssl端口采用443,实际中可按需修改: Ubuntu/Debia
NineData社区版V4.7.0发布!新增MySQL至TiDB等6条数据复制对比链路,SQL窗口新增谷歌云6种数据源类型
云原生智能数据管理平台
12-05 1058
NineData社区版V4.7.0正式发布,新增6条数据复制链路(包括MySQL至OceanBase/TiDB等5条跨源链路和1条同构链路),均支持全流程数据同步与对比功能。同时新增6种谷歌云数据源支持,优化了MongoDB内网复制和MySQL XA事务性能。该版本现已支持27种数据库迁移链路,提供包括SQL审核、结构设计等企业级DevOps能力。作为免费开源工具,NineData社区版支持Docker快速部署,具备高性能CDC同步技术,适用于数据库迁移、容灾、ETL等场景,5-10分钟即可完成安装体验。
AlmaLinux9配置本地镜像仓库
weixin_50877409的博客
12-04 211
本文介绍了在AlmaLinux 9.7系统中配置本地yum仓库的步骤:1)创建挂载目录并挂载ISO镜像;2)备份原有repo文件并创建local.repo配置文件;3)设置本地仓库路径为/media/cdrom/AppStream;4)清除并重建yum缓存;5)最后通过成功安装telnet包验证了本地仓库配置的正确性。整个过程实现了不依赖网络使用本地ISO镜像作为软件源的目的。
Linux服务器安全加固指南
最新发布
YOKEhn的博客
12-09 651
许多用户忽略了系统中运行的无用进程,例如 telnet、ftp、rpcbind 等老旧协议,它们要么不安全,要么无需在线存在。随着云计算的普及,攻击方式从暴力破解、端口扫描、恶意脚本,到高频 DDoS、后门木马层出不穷。对一台新上线的 Linux 服务器来说,最重要的不是安装应用,而是从系统、网络、权限和服务层面建立一个可靠的防护体系。安全不是单一功能,而是由多层策略、最小权限原则和持续监控共同构成的结果。综上所述,Linux 服务器安全加固是一个从账号、网络、服务、权限、审计到备份等多层面的体系。
docker(6-10)
2301_79990780的博客
12-04 805
Docker存储机制摘要 Docker提供两类存储资源: Storage Driver管理的镜像层和容器层:采用分层结构实现Copy-on-Write特性,适合存放无状态应用数据。CentOS默认使用overlay2驱动。
DNS解析配置及智能解析分流推荐工具应用
派大星的不眠博客
12-09 371
本文介绍了DNS系统的基本原理和智能解析配置方法。DNS通过层级化服务器将域名转换为IP地址,递归查询由本地DNS服务器完成。针对国内/国外网站访问需求,传统多DNS配置存在故障转移机制导致境外域名解析被污染的问题。解决方案包括使用dnsmasq工具按域名后缀分流,以及部署SmartDNS实现更精准的智能分流。详细说明了SmartDNS的安装、配置流程,包括服务器分组、规则匹配、GeoIP/GeoSite数据库应用等核心功能,并提供了常见问题排查方法。这些方案能有效解决DNS污染问题,实现国内域名用国内DN
Linux系统启动流程总结
qq_52537313的博客
12-08 643
内核加载完后,会将控制权暂时交给 initramfs 里的。作为 init system。Linux 主流都是。
AIOps / AI-Network / 智能运维:迈向自治网络的核心引擎
专研计算机网络,数据通信,网络安全,系统集成
12-08 945
如:ARIMA、Prophet、LSTM、Transformer-based TSF。AI 自动创建工单、诊断并回填结果 → 实现“零人工参与”AI 自动检查配置差异 → 自动合规校验 → 自动部署。视频业务流量突增,AI 自动为视频流计算低时延路径。AI 识别光纤老化趋势,提前更换 → 降低中断风险。配置 OSPF、配置 VLAN、配置策略路由。意味着设备可以“自检查、自诊断、自修复”。AI 自动识别横向移动、暴力破解、DDoS。这让运维从“经验判断”变为“数据驱动”。网络将像“自动驾驶系统”一样运行。
fnOS 飞牛云 NAS 本地部署开源 TTS 文本转语音工具 EasyVoice 并实现外部访问
zt1985q的博客
12-05 897
EasyVoice 是一款开源的智能文本转语音工具,这款工具可以帮助用户轻松将文本内容转换为高质量的语音输出。语音生成速度很快,而且占用资源也很少,而且支持一键生成语音和字幕,更重要的是完全免费,无时长、无字数限制。本文将详细的介绍如何在 fnOS 飞牛云本地部署 EasyVoice 并结合路由侠实现外网访问本地部署的 EasyVoice。‌。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值