Nginx--使用CDN后拉黑客户端真实IP

原文网址：Nginx--使用CDN后拉黑客户端真实IP-CSDN博客

简介

本文介绍Nginx使用CDN后拉黑客户端真实IP。

不使用CDN时，拉黑IP的方法见：Nginx--拉黑IP-CSDN博客

若使用了CDN，来源IP总是CDN的IP，无法用拉黑IP的方式限制用户IP访问。本文即介绍使用了CDN后，如何拉黑用户真实IP。

1.取出用户真实IP

1、在 Nginx 的 http 模块内加入如下配置：（$clientRealIP 就是用户真实 IP 了）

# 获取用户真实IP，并赋值给变量$clientRealIP map $http_x_forwarded_for $clientRealIp { "" $remote_addr; ~^(?P<firstAddr>[0-9\.]+),?.*$ $firstAddr; }

代码含义：

• 如果没用CDN，那就取$remote_addr（连接的IP地址）
• 若用了CDN，则取 $http_x_forwarded_for 的第一个值

详解

当一个 CDN 把用户的请求转到后面服务器时，CDN 会在 Http 的头中加入一个记录
X-Forwarded-For : 用户 IP, 代理服务器 IP。如果中间经历了不止一个代理服务器，这个记录会是这样：X-Forwarded-For : 用户 IP, 代理服务器 1-IP, 代理服务器 2-IP, 代理服务器 3-IP, ….

用户的真实 IP 在第一个位置， 后面会跟一串中间代理服务器的 IP 地址。

2. 写限制访问代码

判断 $clientRealIP，实现限制访问。

新建ipblack.conf文件（文件名任意），内容如下：

#如果真实IP为 100.100.100.100或222.222.222.222，那么返回403 if ($clientRealIp ~* "100.100.100.100|222.222.222.222") { return 403; break; #如果你的nginx安装了echo模块，还能如下输出内容(不兼容返回403,可以用200吧)！ #add_header Content-Type text/plain; #echo "Too frequently"; }

我把这个上传到 Nginx 的 conf/conf.d 文件夹

3.启用限制代码

在想启用的网站的server 模块中引入这个配置文件：

server { include conf.d/ipblack.conf; # 其他配置 }

4.重新加载Nginx配置

见此文最后：Docker Compose--安装Nginx--方法/实例-CSDN博客