Nginx -允许源IP

Question

Nginx支持allow和deny语法来限制IP，例如allow 192.168.1.1;。但是，如果流量通过反向代理，则IP将引用代理的IP。那么，如何配置将特定的源IP列入白名单，并拒绝所有其他传入请求？

Answer 1

remote_addr将引用代理，但您可以将代理配置为发送带有报头字段X-真实IP/X-Forwarded-For的客户端地址。

结合ngx_http_realip模块，您可以修改传入标头以使用remote_addr的真实客户端地址。我相信这将在allow/deny语法中按预期工作。

只是为了澄清一下--在启用和配置模块之后，允许/拒绝语法应该是相同的。请在下面替换您的IP和代理地址。

后端nginx允许/拒绝：

location / {
    allow <your ip>;
    allow 127.0.0.1;
    deny  all;
}

后端nginx realip配置：

set_real_ip_from  <your proxy>;
real_ip_header    X-Forwarded-For;

在您的nginx代理配置上：

proxy_set_header        X-Real-IP       $remote_addr;
proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;

如果涉及多个中间代理，则需要使用set_real_ip_from指令启用real_ip_recursive并将其他地址列入白名单。

Answer 2

我使用http_geo模块通过以下配置使其正常工作：

geo $remote_addr $give_access {
    proxy 172.0.0.0/8; # <-- Private IP range here
    default 0;
    11.22.33.44 1; # <-- Allowed IP here
}


server {

    # more config ... 

    location ^~ /secure_url_here {
        if ($give_access = 0) {
          return 403; 
        }
        try_files $uri $uri/ /index.php?$args; # <-- Your directive here
    }
}

参考：http://nginx.org/en/docs/http/ngx_http_geo_module.html