前几天技术主管说,老板朋友的网站要拒绝20000多个IP组(可能有几十万个IP)的访问权限
想一下如果用IPTABLES的话,写个脚本是可以实现。但是这么多的记录加入到iptables配置文件,肯定不太发管理。所以,想起以前公司用过的方法。如下:
的ngx_http_access_module 模块可以用来设置允许/禁止哪些ip或ip段访问,可以设置一个内容类似下面的:
IP;
deny subnet;
IP;
allow subnet;
# block all ips
deny all;
# allow all ips
allow all;
其中网段的写法是这样的:192.168.1.0/24这样的形式。
然后编辑nginx.conf,加入一行:
include blockips.conf;
这样设置以后,该服务器上所有的网站都会按照这个设置来拒绝或允许访问。如果想只针对某个网站,可以在具体的网站的配置中加入:
location / {
allow 192.168.0.0/24;
deny all;
}
这样就只允许192.168.0.0网段的ip访问,其他ip访问会返回一个403错误。
还可以自定义一个403错误的页面,可以在/usr/local/nginx/html下新建个error403.html文件,里面按照html的语法写个文档,写上一些说明文字。
然后编辑nginx.conf,加入:
error_page 403 /error403.html;
location = /error403.html {
root html;
}
重启nginx即可。