Nginx访问控制模块

一、Nginx访问控制模块

　　Nginx默认安装的模块http_access_module，可以基于来源IP进行访问控制.

　　1.模块安装

　　nginx中内置ngx_http_access_module，除非编译安装时指定了–without-http_access_module。

　　2.指令

　　allow、deny

　　语法: allow address | CIDR | unix: | all;

　　默认值: –

　　配置段: http, server, location, limit_except

　　允许或者禁止某个ip或者一个ip段访问。如果指定unix:，那将允许或者禁止socket的访问，unix在1.5.1才新加入。

　　3.示例

　　　location / {
　　deny 192.168.1.1;
　　allow 192.168.1.0/24;
　　allow 10.1.1.0/16;
　　allow 2001:0db8::/32;
　　deny all;
　　}

　　从上到下的顺序，类似iptables。匹配到了便跳出。如上的例子先禁止了192.16.1.1，接下来允许了3个网段，其中包含了一个ipv6，最后未匹配的IP全部禁止访问.

　　被deny的将返回403状态码。

　　该方案缺陷：nginx内置的http_access_module只能针对remote_addr进行来源IP的限制，如果用户和服务器之间加入了CDN或者其他代理，remote_addr记录的则是CDN节点的IP地址，无法做到有效的基于来源IP的访问控制。

二、支持CDN的Nginx来源IP访问控制

　　在经过了CDN节点后，用户端的真实IP地址将会被隐藏，无法通过remote_addr来做到有效的IP访问控制。

　　大部分的的CDN服务商都会将用户的真是IP加入到http header的http_x_forwarded_for这个变量中（当然，这个http header是可以被伪造的）

　　也有部分CDN厂商使用了自定义的变量，比如网宿科技使用http_cdn_src_ip这个变量

　　这里不讨论http header伪造的问题，这里的目的只是为了能够获取到用户的真实IP，如果条件允许，你完全可以使用其他的自定义变量来获取用户真实IP

　　下面直接来看Nginx具体配置：

location / {
set $httpcode 403;
if ( $remote_addr ~* “10.0.0|192.168.1|172.16.0.1” ) {    # 匹配10.0.0.0/24，192.168.1.0/24，172.16.0.1
set $httpcode 200;
}
if ( $http_x_forwarded_for ~* “118.89.174.181” ) {    # 匹配118.89.174.181
set $httpcode 200;
}
if ( $http_cdn_src_ip ~* “118.89.174.181” ) {    # 匹配118.89.174.181
set $httpcode 200;
}
if ( $httpcode = 403 ) {
return 403;
}
}

　　配置解释：

　　首先要考虑到用户行为，用户有可能直接访问服务器（对应的变量为remote_addr），也可能是通过阿里云的CDN节点（假设，对应的变量为http_x_forwarded_for），也可能是通过网宿的CDN节点（假设，对应的变量为http_cdn_src_ip），这时候就需要对不同的场景配置IP访问控制。

我的方法是，先设置一个变量httpcode=403，然后进行if判断，如果对应的变量只要有一条匹配定义的IP地址，则设置httpcode=200，最后判断httpcode的值，如果是403（IP全部未匹配）则返回403拒绝访问，否则允许访问。