未分類
5 2 月 2021

nginx 下在有 CDN 的情况下,禁止 ip 段 用户访问

nginx 下在有 CDN 的情况下,禁止 ip 段 用户访问

資深大佬 : marchDu 6

最近网站经常被国外的亚马逊的服务器的爬取内容,现在已经有黑名单的 Ip 段, 但是网站前端配有 CDN,导致 nginx 的 $remote_addr 获取的是 ip 地址是 cdn 的 ip deny 不生效,

找了一个教程 [Nginx 网站使用 CDN 之后禁止用户真实 IP 访问的方法]( https://zhangge.net/5096.html)

只能实现单个 ip 的禁止访问,请问大家有按照 ip 段禁止访问的办法或思路吗?

大佬有話說 (14)

  • 資深大佬 : superrichman

    niginx if 条件 正则表达式

  • 資深大佬 : chendy

    为啥不在 cdn 配黑名单呢

  • 資深大佬 : engineercj

    ipset add black

  • 資深大佬 : lewinlan

    cdn 应该可以配置返回 real ip

  • 資深大佬 : huangzxx

    1 、nginx real_ip 模块
    2 、拿到厂商 cdn 的 IP 段,例如 cloudflare https://www.cloudflare.com/ips-v4

  • 資深大佬 : privil

    用 openresty 这种需求也是随便做吧,获取 X-Forwarded-For 第一个变量,然后匹配,ban 掉。都有现成开发好的脚本吧。

  • 資深大佬 : Aliencn

    有 CDN,好多请求都不会回源站了,在源站上配置禁用规则有啥用

  • 資深大佬 : dndx

    按照 CDN 厂商的建议配置就行,比如 Cloudflare:

    https://support.cloudflare.com/hc/en-us/articles/200170786-Restoring-original-visitor-IPs-logging-visitor-IP-addresses

    用正则是有点太土了。http://nginx.org/en/docs/http/ngx_http_realip_module.html 专门干这个的。

  • 資深大佬 : laozhoubuluo

    这种建议三步走:

    1. CDN 上配置爬虫黑名单 IP 地址.
    2. 源站基于 ngx_http_realip_module 配置规则, 只信任 CDN 提供的 XFF 头.
    3. 源站在 2 生效的基础上, 配置爬虫黑名单 IP 地址, 或配置仅允许 CDN IP 访问.

  • 資深大佬 : colordog

    @laozhoubuluo 活捉老周,哈哈

  • 資深大佬 : colordog

    @laozhoubuluo 赶快给我搞下烽火新款万兆光猫的 sip 话机密码

  • 資深大佬 : fengjianxinghun

    set_real_ip_from x.x.x.x;
    real_ip_header X-Forwarded-For;
    real_ip_recursive on;

  • 資深大佬 : cco

    用过几款 CDN,都带 WAF 功能的- -。

  • 資深大佬 : indev

    Nginx 支持 IP 段的吧,可以只允许来自 CDN IP 的访问: https://frankindev.com/2020/11/18/allow-cloudflare-only-in-nginx/