支持CDN的Nginx来源IP访问控制

一、Nginx访问控制模块

 

Nginx默认安装的模块http_access_module，可以基于来源IP进行访问控制，先来回顾一下，后面说明支持CDN的Nginx来源IP访问控制配置：

1.模块安装

nginx中内置ngx_http_access_module，除非编译安装时指定了–without-http_access_module，当然一般没人这么干吧。

2.指令

allow

语法: allow address | CIDR | unix: | all;

默认值: –

配置段: http, server, location, limit_except

允许某个ip或者一个ip段访问。如果指定unix:，那将允许socket的访问，unix在1.5.1才新加入。

deny

语法: deny address | CIDR | unix: | all;

默认值: –

配置段: http, server, location, limit_except

禁止某个ip或者一个ip段访问.如果指定unix:,那将禁止socket的访问，unix在1.5.1才新加入。

3.示例

location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny all;
}

从上到下的顺序，类似iptables。匹配到了便跳出。如上的例子先禁止了192.16.1.1，接下来允许了3个网段，其中包含了一个ipv6，最后未匹配的IP全部禁止访问.

被deny的将返回403状态码。

该方案缺陷：nginx内置的http_access_module只能针对remote_addr进行来源IP的限制，如果用户和服务器之间加入了CDN或者其他代理，remote_addr记录的则是CDN节点的IP地址，无法做到有效的基于来源IP的访问控制。

 

 

 

二、支持CDN的Nginx来源IP访问控制

在经过了CDN节点后，用户端的真实IP地址将会被隐藏，无法通过remote_addr来做到有效的IP访问控制。

大部分的的CDN服务商都会将用户的真是IP加入到http header的http_x_forwarded_for这个变量中（当然，这个http header是可以被伪造的，具体可参阅http://www.tuicool.com/articles/qaYVry）

也有部分CDN厂商使用了自定义的变量，比如网宿科技使用http_cdn_src_ip这个变量

这里不讨论http header伪造的问题，这里的目的只是为了能够获取到用户的真实IP，如果条件允许，你完全可以使用其他的自定义变量来获取用户真实IP

下面直接来看Nginx具体配置：

location / {
set $httpcode 403;
if ( $remote_addr ~* “10.0.0|192.168.1|172.16.0.1” ) {    # 匹配10.0.0.0/24，192.168.1.0/24，172.16.0.1
set $httpcode 200;
}
if ( $http_x_forwarded_for ~* “118.89.174.181” ) {    # 匹配118.89.174.181
set $httpcode 200;
}
if ( $http_cdn_src_ip ~* “118.89.174.181” ) {    # 匹配118.89.174.181
set $httpcode 200;
}
if ( $httpcode = 403 ) {
return 403;
}
}

配置解释：

首先要考虑到用户行为，用户有可能直接访问服务器（对应的变量为remote_addr），也可能是通过阿里云的CDN节点（假设，对应的变量为http_x_forwarded_for），也可能是通过网宿的CDN节点（假设，对应的变量为http_cdn_src_ip），这时候就需要对不同的场景配置IP访问控制。

我的方法是，先设置一个变量httpcode=403，然后进行if判断，如果对应的变量只要有一条匹配定义的IP地址，则设置httpcode=200，最后判断httpcode的值，如果是403（IP全部未匹配）则返回403拒绝访问，否则允许访问。