Linux怎么配置Nginx以限制用戶使用代理IP訪問

　　平時(shí)大家都經(jīng)常需要用到代理IP，那么你知道Linux怎么配置Nginx以限制用戶使用代理IP訪問嗎?下面跟著學(xué)習(xí)啦小編一起去了解下吧。

　　Linux怎么配置Nginx以限制用戶使用代理IP訪問

　　先大概說說簡單的結(jié)構(gòu)…前端一個(gè)Nginx反向代理，后端一個(gè)Nginx instance app for PHP…實(shí)際上就是個(gè)Discuz，之前面對CC攻擊都是預(yù)警腳本或者走CDN，但是這次攻擊者不再打流量，而是針對數(shù)據(jù)庫請求頁面進(jìn)行攻擊，如search操作…帖子ID F5等。。從日志分析來看是從3個(gè)URL著手攻擊的，當(dāng)時(shí)使用Nginx 匹配$query_string 來return 503…不過會(huì)導(dǎo)致頁面不能訪問，所以想到這么一個(gè)折中的辦法。

　　首先你看一段代理請求的日志：

　　##通過分析，在后端發(fā)現(xiàn)其代理訪問過來的數(shù)據(jù)都是兩個(gè)IP的，默認(rèn)情況下直接訪問獲取真實(shí)IP，其IP只有一個(gè)，而通過手機(jī) 3GG上網(wǎng)則是2個(gè)IP，不過有匿名IP的話，到服務(wù)器則只有一個(gè)IP，這種就不太好判斷了。。。

　　[root@ipython conf]# tail -f /var/log/nginx/logs/access.log | grep ahtax

　　120.193.47.34 - - [26/Sep/2014:23:34:44 +0800] “GET /ahtax/index.html HTTP/1.0” 503 1290 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML， like Gecko) Chrome/31.0.1650.63 Safari/537.36” “10.129.1.254， 120.193.47.34”

　　使用PHP分析下訪問時(shí)的_SERVER變量

　　代碼如下：

　　[root@ipython conf]# cat /%path%/self_.php

　　《?php

　　if ($_SERVER[“HTTP_X_FORWARDED_FOR”]!=“”)

　　{

　　$user_ip=$_SERVER[“HTTP_X_FORWARDED_FOR”];

　　}elseif($_SERVER[“HTTP_X_REAL_IP”]!=“”){

　　$user_ip=$_SERVER[“HTTP_X_REAL_IP”];

　　}else{

　　$user_ip=$_SERVER[“REMOTE_ADDR”];

　　}

　　echo $user_ip.“

　　”;

　　foreach($_SERVER as $key=》$value)

　　echo $key.“\t”。“$value”。“

　　”;

　　?》

　　通過瀏覽器訪問確認(rèn)相關(guān)參數(shù)

　　有了這個(gè)特征就很好判斷了…。

　　首先需要有一個(gè)正則來匹配日志里的兩個(gè)IP，Nginx正則依賴pcre庫。。。

　　代碼如下：

　　[root@ipython conf]# pcretest

　　PCRE version 7.8 2008-09-05

　　re》 ‘^\d+.\d+.\d+.\d+\W\s\d+.\d+.\d+.\d+$’

　　data》 192.168.1.1， 1.1.1.1

　　0： 192.168.1.1， 1.1.1.1

　　Nginx配置文件在location $dir 中加入條件來匹配http_x_forwarded_for：

　　#proxy

　　if ($http_x_forwarded_for ~ ‘^\d+.\d+.\d+.\d+\W\s\d+.\d+.\d+.\d+$’){

　　return 503;

　　}

　　重載配置后就可以限制使用代理IP來訪問的網(wǎng)站用戶了

　　上面就是配置Nginx來拒絕代理ip訪問的用戶的方法介紹了，使用該方法不會(huì)導(dǎo)致頁面無法訪問，如果你需要限制用戶使用代理ip訪問的話，不妨試試該方法。