1.前言

在如何用Nginx代理MySQL連接，并限制可訪問IP一文中，我們實(shí)現(xiàn)了通過Nginx代理MySQL連接，并限制了指定IP才能通過Nginx進(jìn)行連接，以提高數(shù)據(jù)安全性。

該場(chǎng)景適用于根據(jù)具體的IP地址來進(jìn)行訪問限制，假如我們要上線一個(gè)新的功能，但是只想在某些地區(qū)進(jìn)行小規(guī)模的測(cè)試，就無能為力了。

我們可以通過添加第三方模塊ngx_http_geoip2_module來實(shí)現(xiàn)，其實(shí)Nginx也提供了ngx_http_geoip_module，至于我們?yōu)槭裁床皇褂盟?，我們后續(xù)揭曉。

2.限制指定IP

我們先來回顧一下，如何通過指定IP來進(jìn)行訪問限制。

Nginx提供了ngx_http_access_module和ngx_stream_access_module模塊，前者針對(duì)http請(qǐng)求，后者針對(duì)stream連接，它們的指令非常簡(jiǎn)單，僅包含allow和deny指令，唯一區(qū)別就是作用域不同。

我們這里就以ngx_http_access_module模塊為例。

1）allow

該指令設(shè)置指定的IP允許訪問?？梢院?code>deny指令配合使用

作用域：http, server, location, limit_except

語(yǔ)法：allow address | CIDR | unix: | all;

示例：

# 允許192.168.110.1訪問
allow 192.168.110.1;

# 允許192.168.110.1到192.168.255.254
allow 192.168.110.0/16;

# 允許192.168.110.1到192.168.110.254
allow 192.168.110.0/24;

# 允許所有的IP訪問
allow all;

2）deny

該指令設(shè)置指定的IP禁止訪問?？梢院?code>allow指令配合使用。

作用域：http, server, location, limit_except

語(yǔ)法：deny address | CIDR | unix: | all;

# 禁止192.168.110.1訪問
deny 192.168.110.1;

# 禁止192.168.110.1到192.168.255.254
deny 192.168.110.0/16;

# 禁止192.168.110.1到192.168.110.254
deny 192.168.110.0/24;

# 禁止所有的IP訪問
deny all;

3）配置示例

禁止所有的IP訪問，192.168.110.100除外。

http {
	server {
		listen 80;
		server_name localhost;
		allow 192.168.110.100;
		deny all;
	}
}

Tips：如果指定了allow，需要配合deny使用，否則就是允許所有的IP地址訪問。

3.限制國(guó)家/城市

前面我們提到了Nginx也提供了ngx_http_geoip_module來實(shí)現(xiàn)根據(jù)國(guó)家/城市進(jìn)行訪問限制。

官當(dāng)文檔：https://nginx.org/en/docs/http/ngx_http_geoip_module.html

從上圖可以得知該模塊需要maxmind的數(shù)據(jù)庫(kù)，并且格式為.dat，那好，我們來看看maxmind提供的數(shù)據(jù)，如下圖：

其格式為.mmdb，與該模塊的數(shù)據(jù)格式不匹配，因此我們使用第三方模塊ngx_http_geoip2_module。

下載地址：https://github.com/leev/ngx_http_geoip2_module/archive/refs/heads/master.zip

3.1 安裝maxminddb library

首先，我們需要安裝用于讀取.mmdb的文件的依賴。

apt install libmaxminddb0 libmaxminddb-dev mmdb-bin

3.2 構(gòu)建模塊

對(duì)于添加第三方模塊，我們需要在configure時(shí)使用--add-module來實(shí)現(xiàn)。

例如：

./configure --sbin-path=/usr/local/nginx/nginx --conf-path=/usr/local/nginx/nginx.conf --pid-path=/usr/local/nginx/nginx.pid --with-stream --add-module=/home/stone/nginx-1.22.1/module/ngx_http_geoip2_module

其余步驟，可參照【Nginx基本命令&不停機(jī)版本升級(jí)】一文進(jìn)行，這里不再贅述。

3.3 GEOIP數(shù)據(jù)下載

下載地址（需注冊(cè)賬號(hào)）：https://dev.maxmind.com/geoip/geolite2-free-geolocation-data

國(guó)家?guī)欤?/strong>

mmdblookup --file /usr/local/nginx/GeoLite2-City.mmdb --ip 183.195.99.161

http {
	include       mime.types;
	default_type  application/octet-stream;

	# 自定義日志格式
	log_format geoip '$http_x_forwarded_for_temp - $remote_user [$time_local] - $request - $status - $geoip2_country_name_en - $geoip2_city_name_en';

	geoip2 /usr/local/nginx/GeoLite2-Country.mmdb {
		auto_reload 5m;
		$geoip2_metadata_country_build metadata build_epoch;
		$geoip2_country_code source=$http_x_forwarded_for_temp country iso_code;
		$geoip2_country_name_en source=$http_x_forwarded_for_temp country names en;
		$geoip2_country_name_zh source=$http_x_forwarded_for_temp country names zh-CN;
	}

	geoip2 /usr/local/nginx/GeoLite2-City.mmdb {
		auto_reload 5m;
		$geoip2_city_name_en source=$http_x_forwarded_for_temp city names en;
		$geoip2_city_name_zh source=$http_x_forwarded_for_temp city names zh-CN;
	}

	server {

		listen       80;
		server_name  localhost;

		access_log logs/geoip.log geoip;
		default_type text/html;
		# 正則匹配取反
		if ($geoip2_city_name_en !~ 'Shanghai'){
			return 403 "<h1>Forbidden!</h1><p>You don't have permission to access the URL on this server.</p>";
		}

		location / {
			return 200 '<p>Real IP:  $http_x_forwarded_for_temp</p><p>Country:  $geoip2_country_name_en</p><p>City:  	$geoip2_city_name_en</p>';
		}
	}
}