NGINX根据客户端真实ip限制/referer限制

最近后端服务被攻击，所有接口被疯狂调用，记录一次nginx应对攻击的方案，包括黑白名单、referer限定等。

一、NGINX根据用户真实IP限源
1、nginx日志打印
在nginx.conf配置文件中的http模块打印

log_format main ' $remote_addr -$ remote_user [ $time_local] "$ request" '
' $status$ body_bytes_sent " $http_referer" ' '"$ http_user_agent" "$http_x_forwarded_for"';
2、NGINX根据用户真实IP限源
同样在http模块中，将客户端真实ip记录在X-Forwarded-For中

#配置使deny可以根据客户端真实ip禁用
real_ip_header X-Forwarded-For;
set_real_ip_from 0.0.0.0/0;
real_ip_recursive on;
ngx_http_realip_module 模块有如下三个指令；

①：set_real_ip_from

该指令用于设置授信 IP，即请求过来时由某个头字段携带的 IP 中 nginx 自己认为可信的 IP，该头字段由 real_ip_header 指令指定；
该指令值一般是前几层代理的 IP ；

②：real_ip_header

该指令用于告知 nginx 从每个客户端请求中的哪个头字段来获取客户端真实的 IP；
该指令默认值是 X-Real-IP，不过现在主流的都是通过 X-Forwarded-For 字段来获取客户端真实 IP，X-Forwarded-For 目前已经是主流运用的字段了；
我们也可以在 nginx 配置时自定义一个新的字段；

③：real_ip_recursive

nginx 从 real_ip_header 指令指定的头字段中获取 IP，可能会有多个 IP 值；

当 real_ip_recursive 指令值为 off，nginx 从获取到 IP 值中从右往左（也即从后往前）的顺序，以最后一个 IP 值作为客户端的真实 IP ，此时不会排除授信 IP；
当 real_ip_recursive 指令值为 on，nginx 从获取到 IP 值中从右往左（也即从后往前）的顺序，排除 set_real_ip_from 指令指定的授信 IP，以最后一个非授信 IP 值作为客户端的真实 IP ；

3、NGINX的黑白名单deny/allow
经过slb的请求默认会将真实ip放在$http_x_forwarded_for中，根据日志中打印出的攻击ip进行禁用，同样在http模块中。

#禁用某个ip
deny 123.123.123.123;
#禁用某个ip段
deny 123.123.123.0/24;
#禁用全部ip
deny all;
Nginx的deny和allow指令是由ngx_http_access_module模块提供，Nginx安装默认内置了该模块。

语法
1、allow 指令
允许哪些 IP 访问，all 表示允许所有；
2、deny 指令
禁止哪些 IP 访问，all 表示禁止所有；
作用域 http / server / location / limit_except ；

二、nginx根据referer限制
根据nginx日志中打印的$http_referer来进行限制

1、Nginx Referer模块
nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求。当一个请求头的Referer字段中包含一些非正确的字段，这个模块可以禁止这个请求访问站点。构造Referer的请求很容易实现，所以使用这个模块并不能100%的阻止这些请求。

2、valid_referers 指令
语法: valid_referers none | blocked | server_names | string … ;

配置段: server, location

指定合法的来源'referer', 他决定了内置变量$invalid_referer的值，如果referer头部包含在这个合法网址里面，这个变量被设置为0，否则设置为1. 需要注意的是：这里并不区分大小写的.

参数说明：

none：请求头缺少Referer字段，即空Referer
blocked：请求头Referer字段不为空（即存在Referer），但是值被代理或者防火墙删除了，这些值不以“http://”或“https://”开头，通俗点说就是允许“http://”或"https//"以外的请求。
server_names：Referer请求头白名单。
arbitrary string：任意字符串，定义服务器名称或可选的URI前缀，主机名可以使用*号开头或结尾，Referer字段中的服务器端口将被忽略掉。
regular expression：正则表达式，以“~”开头，在“http://”或"https://"之后的文本匹配。

e.g.

server {
......
#配置合法referers，其余拦截
#微信小程序域名：servicewechat.com 浙里办域名：mapi.zjzwfw.gov.cn
valid_referers blocked servicewechat.com mapi.zjzwfw.gov.cn Apifox;
if ( $invalid_referer) { return 403 ; } ...... } 上面配置合法的Referer为 servicewechat.com / mapi.zjzwfw.gov.cn / Apifox 和无Referer(浏览器直接访问，就是没有Referer的) ; 其他非法Referer请求过来时，$ invalid_referer 值为1 ，就return 403。
————————————————
版权声明：本文为CSDN博主「Thomas灬Wade」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/jnloverll/article/details/128103837