需求

一個(gè)網(wǎng)站只想被國(guó)內(nèi)訪問，或者只想被一個(gè)省或一個(gè)市訪問，或者只允許特定的IP或IP段訪問，或者禁止特定的IP或IP段訪問。我知道的有三個(gè)方法：

• 購(gòu)買云服務(wù)器廠商的相關(guān)服務(wù)，它們能做到，結(jié)果相對(duì)準(zhǔn)確；
• 購(gòu)買查詢IP的網(wǎng)站的服務(wù)，寫個(gè)中間件，自己的網(wǎng)站收到請(qǐng)求時(shí)根據(jù)IP去查歸屬地，然后根據(jù)業(yè)務(wù)需要直接允許或阻止本次請(qǐng)求，結(jié)果相對(duì)準(zhǔn)確，但每次收到請(qǐng)求都去查詢的話費(fèi)用較高；
• 購(gòu)買離線的IP庫，在Nginx中做配置，結(jié)果相對(duì)不準(zhǔn)確，一次性付費(fèi)，后續(xù)更新另外付費(fèi)。

云服務(wù)器廠商的服務(wù)和查詢IP的網(wǎng)站的服務(wù)，相對(duì)來說更準(zhǔn)確，IP數(shù)量更完整，更新更及時(shí)；離線的IP庫，由于數(shù)據(jù)源未知，相對(duì)來說不準(zhǔn)確，IP數(shù)量不完整，更新不一定及時(shí)。

使用Nginx實(shí)現(xiàn)

 我用了寶塔，網(wǎng)站里添加了多個(gè)站點(diǎn)，每個(gè)站點(diǎn)都單獨(dú)配置。

以內(nèi)網(wǎng)IP為例，公網(wǎng)IP同理。以下配置都寫在Nginx配置的server塊中(也可以寫在location中)，IP支持一個(gè)一個(gè)寫，也支持CIDR形式，公網(wǎng)IP的CIDR形式可以在ip138上查，準(zhǔn)確性不知道。已知具體的IP段，有網(wǎng)站在線轉(zhuǎn)換成CIDR形式，但我發(fā)現(xiàn)不同的網(wǎng)站轉(zhuǎn)出的結(jié)果不同，最好還是手動(dòng)計(jì)算驗(yàn)證下。

只允許192.168.1.X的IP訪問，其他IP禁止訪問。deny all;不能寫在allow前面，會(huì)導(dǎo)致阻止所有的訪問。

allow 192.168.1.1/24;
deny all;

禁止192.168.1.1、192.168.1.2、192.168.1.3訪問，允許其他IP訪問。

deny 192.168.1.1;
deny 192.168.1.2;
deny 192.168.1.3;
allow all;

被阻止訪問時(shí)，頁面顯示403 Forbidden。

如果有大量的IP需要寫，可以將上面的語句寫在文件里，然后在server塊中導(dǎo)入這個(gè)文件。這樣在同一個(gè)服務(wù)器中有多個(gè)站點(diǎn)都需要這個(gè)同樣的配置時(shí)，容易維護(hù)，后面更新IP只需要更新這個(gè)文件的內(nèi)容，不用把每個(gè)站點(diǎn)的Nginx配置都改一遍。更新文件中的IP后，需重載Nginx配置才生效。

include /home/ip_limit/ip_limit.conf;

自定義403頁面

403頁面可以自定義，同樣是在Nginx配置的server塊中(也可以寫在location中)。將頁面寫在/home/ip_limit/403_my.html，這個(gè)html中如果有圖片，最好寫死成base64，原因后面再說。最好不要用403.html這個(gè)文件名，可能和網(wǎng)站根目錄中寶塔自動(dòng)生成的默認(rèn)403頁面沖突，導(dǎo)致自定義403頁面不生效。

我的網(wǎng)站只允許指定城市訪問，所以Nginx中我配置了allow xxx和deny all;，這樣會(huì)導(dǎo)致在其他城市訪問時(shí)還是403 Forbidden，自定義的403頁面不生效，所以需要單獨(dú)設(shè)置這個(gè)自定義403頁面為允許所有的訪問。

error_page 403 /403_my.html;
location /403_my.html {
  allow all;  #不加會(huì)由于前面的allow和deny all導(dǎo)致阻止加載這個(gè)自定義的403頁面，從而自定義403頁面不生效
  root /home/ip_limit;
  internal;  # 防止直接訪問這個(gè)頁面，不加也行
}

403頁面中的圖片問題

做完上面的配置后，如果自定義403頁面中的圖片不是寫死成base64，會(huì)發(fā)現(xiàn)被阻止訪問時(shí)，頁面中的圖片沒加載出來(img標(biāo)簽中src="./403.png")，然后查了資料在Nginx配置的server塊中加了下面的內(nèi)容，這樣自定義403頁面中的圖片確實(shí)可以加載了(前提是這個(gè)圖片在這里的root處設(shè)置的路徑中，同理src的值也要做相應(yīng)的調(diào)整)，但正常訪問網(wǎng)站時(shí)有的圖片無法加載了。可能因這個(gè)設(shè)置導(dǎo)致網(wǎng)站的所有圖片都從這里設(shè)置的路徑中加載，但實(shí)際無法加載的圖片沒存放在這里。所以這個(gè)配置不具有通用性，還有個(gè)方法我沒試，就是不加這個(gè)配置，把自定義403頁面中的圖片的src換成一個(gè)可加載的網(wǎng)絡(luò)url。

location ~ .*\.(png|jpg|jpeg|gif|svg|ico){
  allow all;
  root /www/wwwroot/test/web;
}

最簡(jiǎn)單省事的方法是，不加這個(gè)配置，自定義403頁面中的圖片寫死成base64。

允許所有人訪問網(wǎng)站中的靜態(tài)文件

我的網(wǎng)站只允許指定城市訪問，但網(wǎng)站中提供一些靜態(tài)文件可供所有人訪問或下載，同樣是在Nginx配置的server塊中。

location /apk/user.apk { # app下載，不加會(huì)由于ip策略無法訪問
  allow all;
}

單獨(dú)放行網(wǎng)站中的一個(gè)接口

我的網(wǎng)站只允許指定城市訪問，但要單獨(dú)放行網(wǎng)站中的一個(gè)接口，例如文件上傳接口，同樣是在Nginx配置的server塊中。假設(shè)公網(wǎng)接口是http://公網(wǎng)IP/oss/upload，對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)是http://192.168.1.1:9966/oss/upload。

location /oss/upload { # 文件上傳接口，不設(shè)訪問限制
  proxy_pass http://192.168.1.1:9966/oss/upload/; # 注意location末尾沒斜線，這里末尾有斜線
  allow all;
}

參考鏈接

Nginx全面配置 - 知乎 (zhihu.com)

nginx 自定義 404、50x 錯(cuò)誤頁面_nginx 504超時(shí)時(shí)指定一個(gè)html界面-CSDN博客

Nginx配置自定義的403頁面 - Mr.peter - 博客園 (cnblogs.com)

到此這篇關(guān)于Nginx限制特定IP訪問自己的網(wǎng)站實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)Nginx限制特定IP訪問內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論