禁止外部ip访问的各种策略(收藏备用)

于 2024-08-05 16:14:58 发布
阅读量716 收藏 4
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 文章存档 文章标签: tcp/ip 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/suny2020/article/details/140929893

Nginx配置限制IP访问
有时候我们需要针对屏蔽某些恶意的IP访问我们的网站,或者限制仅仅某些白名单IP才能访问我们的网站。这时候我们就可以在nginx中通过简单的配置来达到目的。

相关配置语句

屏蔽单个ip访问

格式: deny ip;
deny 123.68.23.5;

允许单个ip访问

格式: allow ip;
allow 123.68.25.6;

屏蔽所有ip访问

deny all;

允许所有ip访问

allow all;

屏蔽ip段访问

deny ip/mask

屏蔽172.12.62.0到172.45.62.255访问的命令

deny 172.12.62.0/24;

允许ip段访问

allow ip/mask

屏蔽172.102.0.0到172.102.255.255访问的命令

allow 172.102.0.0/16;

配置说明
可新建一个配置文件,如blockip.conf。在其中编写相关的ip限制语句,然后在nginx.conf中加入如下配置:

配置ip限制策略

include blockip.conf;

nginx会根据配置文件中的语句,从上至下依次判断。因此,写在前面的语句可能会屏蔽后续的语句。

除部分ip白名单外,屏蔽所有ip的错误示例

deny all; # 该语句已经禁止所有ip的访问,后续的配置不会生效
allow 123.45.25.6;
allow 123.68.52.125;
allow 123.125.25.106;

正确示例

允许部分ip访问

allow 123.45.25.6;
allow 123.68.52.125;
allow 123.125.25.106;

禁止其余ip访问

deny all;

屏蔽策略文件可以放在http, server, location, limit_except语句块中,我们可以根据需要合理的配置。

放置位置 效果 备注
http nginx中所有服务起效 -
server 指定的服务起效 -
location 满足的location下起效 -
limit_except 指定的http方法谓词起效 -

12、云环境下的身份与访问管理:Azure的安全策略与实践
kk1234的博客
07-04 5
本文深入探讨了Azure云环境下的身份与访问管理安全策略与实践,涵盖多因素认证(MFA)增强账户安全、Azure Service Fabric集群安全配置、自定义角色创建与权限管理、基于角色的访问控制(RBAC)和共享访问策略(SAS)、以及托管服务标识(MSI)的应用。通过详细的操作步骤与最佳实践,帮助用户提升Azure资源的安全性和管理效率。
IP-guard23个功能模块简介
IP-Guard专栏
07-02 1109
IP-guard功能模块简介 序号 模块 子功能 功能描述 应用场景 1 基本功能 基本信息 统计客户端计算机基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息 【高效统计终端基础信息】统计终端的计算机名、用户名、操作系统、IP/MAC地址等基础信息【禁止随意修改系统配置】支持限制控制面板、计算机管理、任务管理器、注册表、IP/MAC绑定、ActiveX控件的使用【健康检查】检测终端杀毒软件运行、工作软件安装、程序运行、系统服务运行
Nginx限制IP访问某些页面的操作
01-09
1、要禁止所有IP访问a1.htm a2.htm a3.htm这个三个页面在location可以这样写 location ~* /(a1.htm|a2.htm|a3.htm)$ { deny all; condition………; } 2、只允许指定的ip访问a1.htm a2.htm a3.htm这个三个页面,其他IP访问都拒绝 location ~* /(a1.htm|a2.htm|a3.htm)$ { allow 10.0.0.2; deny all; condition………; } 这种设置只有ip地址为10.0.0.2的主机可以放问这三个页面,其他的ip都被拒绝了。 其
Nginx配置限制IP访问
热门推荐
雪夜留痕的博客
04-18 3万+
Nginx配置限制IP访问 有时候我们需要针对屏蔽某些恶意的IP访问我们的网站,或者限制仅仅某些白名单IP才能访问我们的网站。这时候我们就可以在nginx中通过简单的配置来达到目的。 相关配置语句 屏蔽单个ip访问 # 格式: deny ip; deny 123.68.23.5; 允许单个ip访问 # 格式: allow ip; allow 123.68.25.6; 屏蔽所有ip访...
Nginx限制IP访问详解
你知道莽村的莽怎么来的吗!
05-23 4792
通过使用Nginx的allow和deny指令,可以轻松地控制哪些IP地址或子网段能够访问网站资源。这对于保护敏感信息、限制恶意访问等场景非常有用。希望本文能帮助你更好地理解和配置Nginx的IP访问控制功能。
Nginx配置限制IP访问 懒的程序入手就Nginx
baidu_37366055的博客
06-17 6008
nginx配置ip限制
nginx限制使用IP访问
m0_46598549的博客
06-16 783
可以通过修改Nginx配置文件来禁止IP访问,只需在server中判断IP即可。另外,也可以修改网站配置文件.htaccess来限制某IP()访问。注意,修改需要重启Nginx服务器才能生效。”
【Windows系统IP管理终极指南】:20年IT专家揭秘5大策略与方法,禁止非授权修改!
[【Windows系统IP管理终极指南】:20年IT专家揭秘5大策略与方法,禁止非授权修改!](https://s2-techtudo.glbimg.com/hKgCTnccZA27_x-gzRzyYy0sjNs=/0x0:695x391/984x0/smart/filters:strip_icc()/i.s3.glbimg....
【Ollama IP访问与负载均衡】:构建高可用架构的秘籍
随着企业业务的不断扩展,IP访问控制和负载均衡作为网络架构中的核心组件,对于保障服务的高可用性和可靠性至关重要。本章将对Ollama IP访问与负载均衡的基本概念进行概述,并为读者提供一个对其作用和重要性的初步...
ipguard用户使用培训讲义_加密模块2018(场景).docx
06-11
### IP-Guard 用户使用培训讲义之加密模块2018(场景)解析 #### 一、引言 - **学习目的**: - 通过本次培训,参与者将熟悉IP-Guard透明加解密的基本概念及其加密版本的具体使用方法。 - 掌握如何根据特定需求设置...
nginx 限制ip
weixin_30896825的博客
12-27 113
转自:https://www.cmsky.com/nginx-deny-ip/ 面对垃圾留言和暴力破解,我们可以封禁IP,前文介绍过Apache环境使用.htacess来屏蔽IP,Nginx也可以做到。前提是我们已经搭建好了LNMP环境。 我们来到/usr/local/nginx/conf/vhost网站目录,具体路径可能有点区别,可以用whereis nginx找到你的nginx网站目录。打...
nginx限制IP访问
gshzh的博客
11-03 746
出处:http://nginx.org/en/docs/http/ngx_http_limit_req_module.html The ngx_http_limit_req_module module (0.7.21) is used to limit the request processing rate per a defined key, in particular, the
nginx限制ip地址
csdnhadoop的博客
04-17 493
一、服务器全局限IP #vi nginx.conf     allow 10.57.22.172;  #允许的IP     deny all; 二、站点限IP #vi vhosts.conf 站点全局限IP: location / {     index  index.html index.htm index.php;     allow 10.57.22.172;  
nginx 限制ip访问规则
妖怪的博客
04-04 1051
nginx 限制ip访问规则 禁止/允许 单个IP deny/allow IP 禁止/允许 所有IP deny/allow all 禁止/允许 IP段 从 123.0.0.1 到 123.255.255.254 :deny/allow 123.0.0.0/8 从 123.45.0.1 到 123.45.255.254 : deny/allow 124.45.0.0/16 从 123.45.6....
nginx 禁止某个IP访问站点
记录点滴
01-12 3662
IP刷网站,想封掉这个IP,不让他打开网站。查资料,网上很多人说 /etc/hosts.deny 可以实现。其实是不行的。又不想用 iptable,感觉太麻烦。直接查 nginx阻止ip访问的办法。 首先建立下面的配置文件放在 nginx 的 conf目录下面,命名为blocksip.conf: deny 4.4.4.4    //这是nginx要禁止IP 保存一下。 在n
nginx限制ip访问_通过Nginx来实现禁止国外IP访问网站
weixin_39842611的博客
12-05 882
前言:先来说说为啥要写这篇文章,之前小编看了下 nginx 的访问日志,发现每天有好多国外的 IP 地址来访问我的网站,并且访问的内容基本上都是恶意的。因此 我决定 禁止国外 IP访问我的网站想要实现这个功能有很多方法,下面我就来介绍基于 NGINX 的 ngx_http_geoip2 模块 来禁止国外 IP 访问网站一、安装 geoip2 扩展依赖[root@fxkj~]#yu...
Nginx禁止使用IP访问
.
06-22 1万+
一、环境介绍 我们在使用的时候会遇到很多的恶意IP攻击,这个时候就要用到Nginx 禁止IP访问了。在比如别人通过ip或者未知域名访问你的网站的时候,你希望禁止显示任何有效内容,可以给他返回500.目前国内很多机房都要求网站主关闭空主机头,防止未备案的域名指向过来造成麻烦。 二、操作 修改Nginx配置文件 vim nginx.conf server{ //新增server模块 端口要对应 listen 80 default;
nginx禁用ip方法
php-yyds
07-07 1万+
这样,当IP地址为192.168.1.100的客户端的连接数超过1或请求频率超过10个请求/秒时,Nginx将限制其访问。通过以上几种方法,可以在Nginx中有效地禁用特定IP访问。指令的组合来限制IP访问。指令来禁止特定IP访问。这样,除了IP地址为192.168.1.100的请求之外,其他IP地址都将被允许访问。指令来限制特定IP的连接数和请求频率。这些指令可以在Nginx的配置文件中的。指令来禁止特定IP访问外,还可以使用HTTP模块的。指令:在Nginx的配置文件中,可以使用。
Nginx使用GeoIP模块来限制地区访问
weixin_30666943的博客
03-21 539
举例比如限制泰国地区的IP访问: 前提条件,安装了http geoip 或stream geoip模块的Nginx Plus或者开源nginx Maxmind的GeoLite Legacy数据库 1.安装NginxPlus yum -y installnginx-plus-module-geoip 在配置文件中开启GeoIP动态模块 load_module modules/ngx_h...
服务绑定到0.0.0.0和绑定到127.0.0.1,啥区别
最新发布
02-26
<think>好的,我现在需要回答用户关于服务绑定到0.0.0.0和127.0.0.1的区别的问题。用户之前询问过关于keepalived和haproxy高可用的问题,现在可能是在配置服务时遇到绑定IP的问题,需要进一步理解不同绑定地址的区别。 首先,我得回顾一下这两个IP地址的基本概念。0.0.0.0是一个特殊的IP地址,表示所有可用的网络接口,包括本地回环接口(127.0.0.1)以及物理或虚拟网卡(如eth0、ens33等)。当一个服务绑定到0.0.0.0时,它会在所有网络接口上监听指定的端口,允许来自外部网络和本机的连接请求。 而127.0.0.1是本地回环地址,专门用于本机内部的通信。当服务绑定到127.0.0.1时,只能接受来自本机内部的连接请求,外部设备无法通过该地址访问服务。这通常用于限制服务只能被本地应用访问,增强安全性。 接下来,用户可能关心的是实际应用中的场景。例如,在之前的keepalived和haproxy配置中,绑定到0.0.0.0可以让haproxy在所有节点启动,即使没有VIP,这样当VIP切换时,无需重新启动服务。而如果绑定到某个具体IP,如VIP,当该IP不存在于备用节点时,服务无法启动。用户现在可能是在配置其他服务时,遇到了类似的问题,或者需要理解不同绑定方式对服务可访问性的影响。 需要进一步考虑的是安全性和网络策略。绑定到0.0.0.0虽然方便,但可能暴露服务到外部网络,需要防火墙或其他安全措施来限制访问。而绑定到127.0.0.1则更安全,但限制了服务的可访问性,只允许本地访问。用户可能需要根据服务的使用场景来决定合适的绑定方式。 另外,可能涉及到的技术细节包括网络接口的配置、防火墙规则、以及服务本身的访问控制配置。例如,即使服务绑定到0.0.0.0,如果防火墙阻止了外部访问外部仍然无法连接。反之,如果绑定到127.0.0.1,即使防火墙开放了端口,外部也无法访问。 还需要考虑不同操作系统的行为是否一致,虽然0.0.0.0和127.0.0.1的定义在大多数操作系统中是相同的,但在某些特定环境下可能会有差异,例如容器化环境中网络配置的不同可能导致绑定行为的变化。 用户可能在配置服务时遇到了绑定失败的问题,比如尝试绑定到某个特定IP但该IP不存在或不可用,导致服务启动失败。或者用户可能想了解如何限制服务的访问范围,以提高安全性。因此,在回答时需要涵盖这些应用场景,并给出具体的例子和建议。 总结来说,回答需要明确两者的定义、区别、适用场景,以及安全性和网络配置的影响,帮助用户根据实际需求选择合适的绑定方式。同时,可能需要提醒用户注意防火墙和网络安全组的配置,以确保服务的安全访问。</think>服务绑定到 `0.0.0.0` 和 `127.0.0.1` 的区别主要体现在 **监听范围** 和 **访问权限** 上,具体如下: --- ### 1. **绑定到 `0.0.0.0`** - **含义**:表示服务监听所有可用的网络接口(包括物理网卡、虚拟网卡、本地回环接口等)。 - **访问权限**: - **允许外部访问**:其他设备可以通过服务器的公网 IP、内网 IP 或域名访问服务。 - **允许本机访问**:本机可以通过 `127.0.0.1` 或 `localhost` 访问服务。 - **适用场景**: - 需要对外提供服务(如 Web 服务器、数据库对外暴露)。 - 多节点集群中,服务需要通过多个网络接口通信。 - **示例**: ```bash # 绑定到 0.0.0.0:80,外部和本机均可访问 nginx -g "daemon off; listen 0.0.0.0:80;" ``` --- ### 2. **绑定到 `127.0.0.1`** - **含义**:表示服务仅监听本地回环接口(Loopback Interface),即服务只能在本机内部访问。 - **访问权限**: - **禁止外部访问**:其他设备无法通过公网 IP 或内网 IP 访问服务。 - **仅允许本机访问**:本机可通过 `127.0.0.1` 或 `localhost` 访问服务。 - **适用场景**: - 服务仅供本机内部使用(如本地数据库、开发调试)。 - 增强安全性,避免服务暴露到外部网络。 - **示例**: ```bash # 绑定到 127.0.0.1:3306,仅本机可访问 MySQL mysqld --bind-address=127.0.0.1 ``` --- ### 3. **对比表格** | 特性 | 绑定到 `0.0.0.0` | 绑定到 `127.0.0.1` | |--------------------|--------------------------------|----------------------------------| | **监听范围** | 所有网络接口(公网、内网、本地) | 仅本地回环接口(`127.0.0.1`) | | **外部访问** | 允许 | 禁止 | | **本机访问** | 允许(通过 `127.0.0.1` 或 IP) | 允许(仅通过 `127.0.0.1`) | | **安全性** | 较低(需依赖防火墙控制) | 较高(天然隔离外部访问) | | **典型场景** | Web 服务器、API 服务 | 本地数据库、开发调试服务 | --- ### 4. **注意事项** - **防火墙规则**: - 即使服务绑定到 `0.0.0.0`,仍需通过防火墙(如 `iptables`、`firewalld`)或安全组限制外部访问。 - 绑定到 `127.0.0.1` 时,防火墙规则通常无需额外配置(默认禁止外部访问)。 - **容器化环境**: - 在 Docker 或 Kubernetes 中,服务绑定到 `0.0.0.0` 是常规操作,以便容器通过端口映射对外暴露。 - **服务冲突**: - 若多个服务绑定到同一端口和 `0.0.0.0`,会导致端口冲突;绑定到 `127.0.0.1` 则仅影响本机端口。 --- ### 5. **示例场景** - **场景 1(安全隔离)**: 本地运行的 Redis 数据库仅需本机访问,应绑定到 `127.0.0.1:6379`,避免被外部攻击者利用。 - **场景 2(对外服务)**: Web 服务器需要对外提供 HTTP 服务,应绑定到 `0.0.0.0:80`,同时配置防火墙仅允许可信 IP 访问。 --- ### 总结 - **绑定到 `0.0.0.0`**:开放性强,适合对外服务,但需依赖防火墙保障安全。 - **绑定到 `127.0.0.1`**:封闭性强,适合内部服务,天然隔离外部风险。 根据实际需求选择绑定方式,可有效平衡功能与安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值