一些web服务,出于安全考虑是不想让其他人访问到,除了添加登录用户认证外,还可以使用Nginx限制IP访问,只允许指定IP的用户访问站点或者接口。即nginx deny ip access
Nginx中限制IP访问的一般用法是在location中使用allow和deny来限制,如:
location / {
allow 127.0.0.1;
allow 172.0.0.0/8;
allow 10.10.0.0/16;
allow 202.106.0.20/32;
allow 114.114.114.114/32;
deny all;
} 实际应用中由于我们配置了泛解析域名,location中用到了if语句来匹配server_name,而allow和deny指令无法使用在if语句里面。
Nginx deny的用法:
deny
语法: deny address | CIDR | unix: | all;
默认值: —
配置段: http, server, location, limit_except如果在if语句下使用deny指令会有如下报错:
"deny" directive is not allowed here in /etc/nginx/conf.d/default.conf:21还有一个问题是Ningx配置是不支持if嵌套的,所以下面使用了set变量的方式来实现嵌套功能,使用return 403来替代deny指令,具体如下:
server {
listen 80;
server_name ~^(?<subdomain>.+)\.sudops\.com$;
location / {
set $myoffice 0;
if ($host = "subdomain.sudops.com") {
proxy_pass http://172.30.1.11:2019;
set $myoffice "${myoffice}1";
}
if ($remote_addr !~ "^(127.0.0.1|172.|10.10.|202.106.0.20|114.114.114.114)") {
set $myoffice "${myoffice}2";
}
if ($myoffice = "012") {
return 403;
}
}
}
