当前位置: 移动技术网 > 科技>操作系统>Linux > linux系统中配置Nginx 拒绝代理访问指定IP的方法

linux系统中配置Nginx 拒绝代理访问指定IP的方法

2018年11月08日  | 移动技术网科技  | 我要评论

辛亥革命邮票,冰奶茶,蜀山战纪第二季网盘

   先大概说说简单的结构…前端一个nginx反向代理,后端一个nginx instance app for php…实际上就是个discuz,之前面对cc攻击都是预警脚本或者走cdn,但是这次攻击者不再打流量,而是针对数据库请求页面进行攻击,如search操作…帖子id f5等..从日志分析来看是从3个url着手攻击的,当时使用nginx 匹配$query_string 来return 503…不过会导致页面不能访问,所以想到这么一个折中的办法。

  首先你看一段代理请求的日志:

  ##通过分析,在后端发现其代理访问过来的数据都是两个ip的,默认情况下直接访问获取真实ip,其ip只有一个,而通过手机 3g\4g上网则是2个ip,不过有匿名ip的话,到服务器则只有一个ip,这种就不太好判断了...

  [root@ipython conf]# tail -f /var/log/nginx/logs/access.log | grep ahtax

  120.193.47.34 - - [26/sep/2014:23:34:44 +0800] "get /ahtax/ http/1.0" 503 1290 "-" "mozilla/5.0 (windows nt 6.1; wow64) applewebkit/537.36 (khtml, like gecko) chrome/31.0.1650.63 safari/537.36" "10.129.1.254, 120.193.47.34"

  使用php分析下访问时的_server变量


复制代码
代码如下:
[root@ipython conf]# cat /%path%/self_.php
<?php
if ($_server["http_x_forwarded_for"]!="")
{
$user_ip=$_server["http_x_forwarded_for"];
}elseif($_server["http_x_real_ip"]!=""){
$user_ip=$_server["http_x_real_ip"];
}else{
$user_ip=$_server["remote_addr"];
}
echo $user_ip."
";
foreach($_server as $key=>$value)
echo $key."\t"."$value"."
";
?>

  通过浏览器访问确认相关参数

linux中配置nginx 拒绝代理访问 如此叼

  有了这个特征就很好判断了….

  首先需要有一个正则来匹配日志里的两个ip,nginx正则依赖pcre库...


复制代码
代码如下:
[root@ipython conf]# pcretest
pcre version 7.8 2008-09-05
re> '^\d+.\d+.\d+.\d+\w\s\d+.\d+.\d+.\d+$'
data> 192.168.1.1, 1.1.1.1
0: 192.168.1.1, 1.1.1.1
nginx配置文件在location $dir 中加入条件来匹配http_x_forwarded_for:
#proxy
if ($http_x_forwarded_for ~ '^\d+.\d+.\d+.\d+\w\s\d+.\d+.\d+.\d+$'){
return 503;
}

  重载配置后就可以限制使用代理ip来访问的网站用户了

nginx-reject-proxy1

您可能感兴趣的文章:

如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网