如何在NGINX中实现基于IP的访问控制（IP黑白名单）？

大家好，我是锋哥。今天分享关于【如何在NGINX中实现基于IP的访问控制（IP黑白名单）？】面试题。希望对大家有帮助；

如何在NGINX中实现基于IP的访问控制（IP黑白名单）？

1000道 互联网大厂Java工程师 精选面试题-Java资源分享网

在 NGINX 中实现基于 IP 地址的访问控制（IP 黑白名单）是一种常见的安全策略，可以通过 allow 和 deny 指令来实现。下面是如何配置黑白名单的步骤：

1. 配置白名单（允许特定 IP 访问）

要允许特定 IP 地址或 IP 范围访问网站，你可以使用 allow 指令。假设我们要允许 192.168.1.100 这个 IP 地址访问 NGINX 服务：

编辑你的 NGINX 配置文件（通常位于 /etc/nginx/nginx.conf 或 /etc/nginx/sites-available/default）：

server {
    listen 80;
    server_name yourdomain.com;

    location / {
        # 允许特定 IP 访问
        allow 192.168.1.100;

        # 其余的 IP 被拒绝访问
        deny all;

        # 配置其他参数
    }
}

2. 配置黑名单（拒绝特定 IP 访问）

要拒绝特定 IP 地址访问，你可以使用 deny 指令。假设我们要阻止 192.168.1.101 这个 IP 地址访问：

server {
    listen 80;
    server_name yourdomain.com;

    location / {
        # 拒绝特定 IP 访问
        deny 192.168.1.101;

        # 允许其他 IP 访问
        allow all;

        # 配置其他参数
    }
}

3. 配置多个 IP 的黑白名单

你可以同时使用多个 allow 和 deny 指令，来配置多个 IP 地址或 IP 范围的访问控制。例如：

server {
    listen 80;
    server_name yourdomain.com;

    location / {
        # 允许多个 IP 访问
        allow 192.168.1.100;
        allow 203.0.113.0/24;  # 允许整个 IP 范围

        # 拒绝多个 IP 访问
        deny 192.168.1.101;
        deny 198.51.100.200;

        # 配置其他参数
    }
}

4. 结合黑白名单进行更细粒度的控制

如果你有一个更复杂的需求（例如，只有某些 IP 可以访问某些特定路径），可以为不同的 location 配置不同的访问控制。例如：

server {
    listen 80;
    server_name yourdomain.com;

    # 默认配置，允许所有人访问
    location / {
        allow all;
        deny all;
    }

    # 特定路径的访问控制
    location /admin {
        # 只允许 192.168.1.100 和 203.0.113.0/24 访问 /admin 路径
        allow 192.168.1.100;
        allow 203.0.113.0/24;
        deny all;  # 其余 IP 拒绝访问
    }
}

5. 使用 geo 模块进行更灵活的控制（可选）

你还可以使用 NGINX 的 geo 模块来基于客户端的 IP 地址进行更加灵活的访问控制。这个方法允许你创建一个变量，该变量基于 IP 地址的来源来设置不同的权限。

例如，创建一个 geo 模块来根据 IP 地址定义访问权限：

http {
    geo $restricted {
        default 1;
        192.168.1.100 0;  # 允许 192.168.1.100
        203.0.113.0/24 0;  # 允许 203.0.113.0/24 网段
    }

    server {
        listen 80;
        server_name yourdomain.com;

        location / {
            if ($restricted) {
                deny all;  # 如果 $restricted 变量为 1，拒绝访问
            }

            allow all;  # 允许其他 IP 访问
        }
    }
}

6. 重载 NGINX 配置

完成配置后，记得验证配置并重载 NGINX 服务：

sudo nginx -t  # 测试配置是否正确
sudo systemctl reload nginx  # 重新加载 NGINX 配置

7. 常见的配置应用场景

• 白名单：当你只希望某些 IP 地址可以访问你的服务，而其他的都被拒绝。
• 黑名单：当你希望阻止某些特定的 IP 地址，允许其他的访问。
• 组合使用：当你需要更细粒度的控制，允许或拒绝某些 IP 地址访问特定路径时。

总结

通过在 NGINX 中使用 allow 和 deny 指令，你可以非常方便地实现 IP 地址的黑白名单控制，保护你的服务器免受不必要的访问。