nginx访问控制:如何通过map来控制http_x_forwarded_for访问限制

最新推荐文章于 2024-02-26 11:09:52 发布
转载 最新推荐文章于 2024-02-26 11:09:52 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/324108
文章标签:

#运维

本文介绍如何使用Nginx的map和locationifelse指令来限制特定IP地址的访问,确保只有预设的IP地址可以访问服务器,提高系统的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通过map修改访问限制

目前,仓库通过allow host的方式来控制访问,但实际上没有启到作用,请求从lb过来,host已经变化,所以需要用http_x_forwarded_for来做限制。

允许访问ip
19.29.55.15 13.56.217.135 211.22.42.100 119.9.14.149其他都403
影响范围:

不升级的情况下不影响
实现方法:
1、map(用于http段)
2、location if else来判断(server)

map:

map $http_x_forwarded_for $access
{

default false;
123.56.27.15 true;
123.103.7.29 true;
101.21.57.187 true;
221.12.42.100 true;
116.7.37.5 true;
10.150.189.186 true;
41.29.245.18 true;
}if ( $access = 'false')
{
return 403;
}

location:

set $access false;

if ( $http_x_forwarded_for = '123.56.27.135' ) {

set $access true;

}
if ( $http_x_forwarded_for = '119.29.144.149' ) {

set $access true;

}
if ( $http_x_forwarded_for = '119.29.55.135' ) {

set $access true;

}
if ( $http_x_forwarded_for = '221.122.42.100' ) {

set $access true;

}
if ( $access = 'false') {

return 403;

}

Nginx(openresty) X-Forwarded-For $proxy_add_x_forwarded_for 多层代理 通过map分割 获取客户端真实IP地址 获取第一个IP
tonyhi6的博客
07-02 1366
$proxy_add_x_forward,对应的有2个IP ,以逗号分隔,第一个IP 为客户端真实IP,第二个为代理服务器IP地址。5 X-Forwarded-For获取第一个IP地址。4 在转后的服务器,查看日志。6 访问查看第一个IP地址。2 nginx 日志配置。1 nginx 配置。
nginx代理后,获取真实IP,做并发访问限制的方法(限流)
完颜振江
01-24 1886
站点在运行时,为了防止DDoS 攻击、或内部接口调用造成的数据迸发,nginx提供了limit限流模块: HttpLimitZoneModule 限制同时并发访问的数量HttpLimitReqModule 限制访问数据,每秒内最多几个请求 一、普通配置: 什么叫普通配置? 普通配置就是针对【用户浏览器】→【网站服务器】这种常规模式的 nginx 配置。那么,如果我要对单 IP 做访问限制,绝大多数教程都是这样写的: ## 用户的 IP 地址 $binary_remote_addr 作为 Key,
获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR)
8292669的专栏
05-29 7573
分析过程 这个来自一些项目中,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的。 一般朋友,都会看到如下通用获取IP地址方法。 function getIP() { if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $realip = $_SERVER['HTTP_X_FORWARDED_FOR']; } else
nginx配置允许指定IP访问 (利用$http_x_forwarded_for
u012549182的博客
11-14 1370
获取用户真实IP,并赋值给变量$clientRealIP。编辑 limit_ip.conf。
nginx 从$http_x_forwarded_for 中获取第一个参数
cn_yaojin
02-26 2445
变量通常包含了客户端的原始 IP 地址以及可能经过的代理服务器的 IP 地址列表,这些地址由逗号分隔。中截取第一个参数(即最左边的 IP 地址),你可以使用 Nginx 的内置变量处理功能。变量来引用截取后的第一个 IP 地址。现在,你可以在你的 Nginx 配置中使用。中使用它来记录这个 IP 地址,或者在。下面是一个示例配置,展示了如何截取。中使用它来记录访问日志。在 Nginx 中,
HTTP 请求头中的 X-Forwarded-For
赶路人儿
08-01 2万+
通过名字就知道,X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。X-Forwarded-For 请求头格式非常简单,就这样: X-Forwarded-For: client, prox
user nginx; worker_processes auto; error_log /var/log/nginx/error.log notice; pid /var/run/nginx.pid; events { worker_connections 1024; } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; sendfile on; #tcp_nopush on; keepalive_timeout 65; upstream gateway { server 10.2.96.171:8080; } map $http_upgrade $connection_upgrade { default upgrade; '' close; } #gzip on; server{ listen 8000; server_name _; location / { if ($request_method !~ ^(GET|POST|HEAD|PUT|DELETE|OPTIONS)$) { return 444; } proxy_pass http://10.2.96.171:18000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } server{ listen 8001; server_name _; location / { proxy_pass http://10.2.96.171:18001; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; if ($request_method !~ ^(GET|POST|HEAD|PUT|DELETE|OPTIONS)$) { return 444; } } } server { listen 20443 ssl ; ssl_certificate /data/infra/nginx/gotion.com.cn.crt; server_name 10.2.96.171; ssl_certificate_key /data/infra/nginx/gotion.com.cn.key; ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_buffer_size 4k; ssl_session_cache shared:SSL:50m; ssl_session_timeout 4h; root /data/infra/nginx/html; location / { add_header 'Access-Control-Allow-Origin' 'https://10.2.96.171'; try_files $uri /index.html; } location /api/ { proxy_pass http://10.2.96.171:8080/; add_header 'Access-Control-Allow-Origin' 'https://10.2.96.171'; proxy_cookie_path /oauth /; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Cookie $http_cookie; proxy_read_timeout 30000; proxy_send_timeout 30000; client_max_body_size 1024m; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; } location ~* ^/(mio) { proxy_buffering off; proxy_set_header X-Forwarded-Proto $scheme; client_max_body_size 1024m; proxy_http_version 1.1; proxy_set_header Connection ""; chunked_transfer_encoding off; proxy_pass http://10.2.96.171:9000; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $http_host; rewrite ^/mio/(.*)$ /$1 break; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } } 帮我修改这个配置 要求 不配置https证书
03-26
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } server { listen 8001; server_name _; location / { proxy_pass ...
server { listen 9007; server_name localhost; client_max_body_size 600M; proxy_connect_timeout 60s; # 代理连接超时时间 proxy_read_timeout 60s; # 代理读取超时时间 proxy_send_timeout 60s; # 代理发送超时时间 fastcgi_read_timeout 60s; # FastCGI 读取超时时间 send_timeout 60s; # 发送数据超时时间 #前端打的dist资源存放目录 root D:/ZrWrjServer/nginx-1.18.0/html; # 静态资源的缓存和压缩设置 location ~* ^/a-map/(.*)$ { alias /home/map/AMap/AMap/$1; etag on; expires 24h; gzip on; gzip_types image/jpeg image/png image/gif image/jpg; } location ~* ^/map-image/(.*)$ { alias /home/map/AMap/AMap/$1; etag on; expires 24h; gzip on; gzip_types image/jpeg image/png image/gif image/jpg; } location / { # 用于配合 browserHistory使用 try_files $uri $uri/ /index.html; } location /power-system/ { proxy_pass http://10.168.1.105:9006/power-system/; proxy_redirect off; #真实IP获取 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; set $my_proxy_add_x_forwarded_for $proxy_add_x_forwarded_for; if ($proxy_add_x_forwarded_for ~* "127.0.0.1"){ set $my_proxy_add_x_forwarded_for $remote_addr; } proxy_set_header X-Forwarded-For $my_proxy_add_x_forwarded_for; } location /api/ { proxy_pass http://10.168.1.105:9006/power-system/; proxy_redirect off; #真实IP获取 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; set $my_proxy_add_x_forwarded_for $proxy_add_x_forwarded_for; if ($proxy_add_x_forwarded_for ~* "127.0.0.1"){ set $my_proxy_add_x_forwarded_for $remote_addr; } proxy_set_header X-Forwarded-For $my_proxy_add_x_forwarded_for; } location /static/defect { # 设置缓存过期时间,例如1天 expires 1d; # 添加Cache-Control头,控制缓存行为 add_header Cache-Control "public"; root /power/defect; } location /static/video { # 设置缓存过期时间,例如1天 expires 1d; # 添加Cache-Control头,控制缓存行为 add_header Cache-Control "public"; root /power/video; } location /static/uav { # 设置缓存过期时间,例如1天 expires 1d; # 添加Cache-Control头,控制缓存行为 add_header Cache-Control "public"; root /power/uav; } location /static/imageManage { # 设置缓存过期时间,例如1天 expires 1d; # 添加Cache-Control头,控制缓存行为 add_header Cache-Control "public"; root /power/uav; } error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } 我在windows上使用这个配置但是报错2025/07/14 16:17:59 [emerg] 7236#7276: "server" directive is not allowed here in D:\ZrWrjServer\nginx-1.18.0/conf/nginx.conf:1
最新发布
07-16
set $my_proxy_add_x_forwarded_for $proxy_add_x_forwarded_for; if ($proxy_add_x_forwarded_for ~* "127.0.0.1"){ set $my_proxy_add_x_forwarded_for $remote_addr; } proxy_set_header X-Forwarded-For $...
HTTP 请求头中的 X-Forwarded-For(XFF)
义臻的博客
03-12 3万+
在Java代码实践中,有两种方式可以从HTTP请求中获得请求者的IP地址。一个是从Remote Address中获得,另一个是从X-Forward-For中获得,但他们的安全性和使用场景各有不同。一旦用错,就可能为系统造成漏洞。因此,需要开发者对这两个参数深入的理解。 Remote Address代表的是当前HTTP请求的远程地址,即HTTP请求的源地址。HTTP协议在三次握手时使用的就是这个R...
阿里 SLB +nginx 基于$http_x_forwarded_for 代理IP 访问控制
weixin_30321709的博客
06-22 453
nginx location 配置 location ~* /admin/login { #set $my_ip ''; #if ( $http_x_forwarded_for!=client ip){set $my_ip 1;} #if ( $http_x_forwarded_for!= client ip ){ set $my_ip 1;} #if ( $my_ip ...
nginx 根据remote_addr http_x_forwarded_for 访问权限配置
edgar_t的博客
09-26 1475
功能说明: 当 $http_x_forwarded_for 为空会‘-’时(没有代理服务器或代理未配置 $http_x_forwarded_for ),Real为$remote_addr(客户端真实IP) 判断$Realip 访问权限 当 $http_x_forwarded_for 有一个或者多个IP时Real为 $http_x_forwarded_for 第一个IP(客户端真实IP) 判断$Realip 访问权限 配置http_x_forwarded_for 代理服务器添加 proxy_set_
HTTP 请求头中的 X-Forwarded-For,X-Real-IP
Erica_1230的专栏
03-02 1827
在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: location / { 省略... proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://1xx.xxx.xxx.xxx; }...
HTTP 请求头中的 X-Forwarded-For,X-Real-IP(nginx
热门推荐
xqhys的博客
08-17 3万+
转发:https://www.cnblogs.com/diaosir/p/6890825.html 在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: location / {        省略...         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;       ...
获得用户的真实ip HTTP_X_FORWARDED_FOR
天宝的博客
03-26 2万+
工作中经常会有有获得用户真实ip的情况,HTTP_X_FORWARDED_FOR这个函数总是忘记,所以我这里记录下来吧. 在PHP 中使用 [“REMOTE_ADDR”] 来取得客户端的 IP 地址,但如果客户端是使用代理服务器来访问,如果要获取真正的ip就需要使用[‘HTTP_X_FORWARDED_FOR’]. if(isset($_SERVER['HTTP_X_FORWARDED_FOR']...
Nginx HTTP 请求头中的 X-Forwarded-For
小楼一夜听春雨,深巷明朝卖杏花
07-20 1万+
背景 通过名字就知道,X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。 X-Forwarded-For 请求头格式非常简单,就这样: X-Forwarded-For: client
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值