• 禁止某些终端访问
    • 列举几个限制策略来源

    禁止某些终端访问

    不同的业务应用场景,会有完全不同的非法终端控制策略,常见的限制策略有终端 IP 、访问域名端口,这些可以通过防火墙等很多成熟手段完成。可也有一些特定限制策略,例如特定 cookie、url、location,甚至请求 body 包含有特殊内容,这种情况下普通防火墙就比较难限制。

    Nginx 是 HTTP 7 层协议的实现者,相对普通防火墙从通讯协议有自己的弱势,同等的配置下的性能表现绝对远不如防火墙,但它的优势胜在价格便宜、调整方便,还可以完成 HTTP 协议上一些更具体的控制策略,与 iptable 的联合使用,让 Nginx 玩出更多花样。

    列举几个限制策略来源

    • IP 地址
    • 域名、端口
    • Cookie 特定标识
    • location
    • body 中特定标识

    示例配置(allow、deny)

    1. location / {
    2. deny 192.168.1.1;
    3. allow 192.168.1.0/24;
    4. allow 10.1.1.0/16;
    5. allow 2001:0db8::/32;
    6. deny all;
    7. }

    这些规则都是按照顺序解析执行直到某一条匹配成功。在这里示例中,10.1.1.0/16 and 192.168.1.0/24 都是用来限制 IPv4 的,2001:0db8::/32 的配置是用来限制 IPv6。具体有关 allow、deny 配置,请参考这里。

    示例配置(geo)

    1. Example:
    2. geo $country {
    3. default ZZ;
    4. proxy 192.168.100.0/24;
    5. 127.0.0.0/24 US;
    6. 127.0.0.1/32 RU;
    7. 10.1.0.0/16 RU;
    8. 192.168.1.0/24 UK;
    9. }
    10. if ($country == ZZ){
    11. return 403;
    12. }

    使用 geo,让我们有更多的分支条件。注意:在 Nginx 的配置中,尽量少用或者不用 if ,因为 “if is evil”。点击查看

    目前为止所有的控制,都是用 Nginx 模块完成,执行效率、配置明确是它的优点。缺点也比较明显,修改配置代价比较高(reload 服务)。并且无法完成与第三方服务的对接功能交互(例如调用 iptable)。

    在 OpenResty 里面,这些问题就都容易解决,还记得 access_by_lua* 么?推荐一个第三方库lua-resty-iputils。

    示例代码:

    1. init_by_lua_block {
    2. local iputils = require("resty.iputils")
    3. iputils.enable_lrucache()
    4. local whitelist_ips = {
    5. "127.0.0.1",
    6. "10.10.10.0/24",
    7. "192.168.0.0/16",
    8. }
    9. -- WARNING: Global variable, recommend this is cached at the module level
    10. -- https://github.com/openresty/lua-nginx-module#data-sharing-within-an-nginx-worker
    11. whitelist = iputils.parse_cidrs(whitelist_ips)
    12. }
    13. access_by_lua_block {
    14. local iputils = require("resty.iputils")
    15. if not iputils.ip_in_cidrs(ngx.var.remote_addr, whitelist) then
    16. return ngx.exit(ngx.HTTP_FORBIDDEN)
    17. end
    18. }

    以次类推,我们想要完成域名、Cookie、location、特定 body 的准入控制,甚至可以做到与本地 iptable 防火墙联动。
    我们可以把 IP 规则存到数据库中,这样我们就再也不用 reload Nginx,在有规则变动的时候,刷新下 Nginx 的缓存就行了。

    思路打开,大家后面多尝试各种玩法吧。