通过IP返回404限制的Nginx位置

时间:2016-02-24 20:41:53

标签: apache nginx cloudflare

我有一个文件和一个目录,都位于文档根目录中,我需要根据请求的IP地址限制访问。以下是我设置的location配置(实际路径和IP替换为样本路径):

server {
    server_name example.com;

    location ~* /(file.php|directory) {
        allow 1.1.1.10;
        allow 2.2.2.11;
        deny all;
    }
}

我的Nginx实例支持CloudFlare,所以我在我的Nginx配置的http块内设置了以下规则:

set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 199.27.128.0/21;

real_ip_header CF-Connecting-IP;

我的访问日志显示正在根据该配置正确设置IP地址。

Nginx实例被用作负载均衡器,将请求传递给上游的一组Apache服务器。上游正常工作,使用以下location配置:

location / {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header CF-Connecting-IP $http_cf_connecting_ip;
        proxy_set_header CF-Ipcountry $http_cf_ipcountry;
        proxy_set_header CF-Ray $http_cf_ray;
        proxy_set_header Cf-Visitor $http_cf_visitor;

        proxy_pass http://web;
}

我的IP限制location规则高于配置文件中的location /规则。

以下问题:每当我向其中一条IP限制路径发出请求时,无论是来自应该被允许的IP还是被阻止的IP,我都会得到一个404回复。请求IP不会影响此响应。

在从阻止的IP请求时,我期待403响应。我已经在另一个location上测试了相同的server配置,它直接处理文件而不是将它们传递到上游,它按预期工作,甚至在具有相同真实IP设置的CloudFlare之后。

要使此限制正常工作还需要做些什么?

1 个答案:

答案 0 :(得分:1)

问题在于您误解了nginx处理location块的方式。有关概述,请参阅this document

您需要在需要执行该功能的每个proxy_pass块中放置location指令。 proxy_set_header指令可以从外部块继承。例如:

server {
    server_name example.com;

    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header CF-Connecting-IP $http_cf_connecting_ip;
    proxy_set_header CF-Ipcountry $http_cf_ipcountry;
    proxy_set_header CF-Ray $http_cf_ray;
    proxy_set_header Cf-Visitor $http_cf_visitor;

    location ~* /(file.php|directory) {
        allow 1.1.1.10;
        allow 2.2.2.11;
        deny all;

        proxy_pass http://web;
    }

    location / {
        proxy_pass http://web;
    }
}
相关问题
最新问题