geo指令使用ngx_http_geo_module模块提供的。默认情况下,nginx有加载这个模块,除非人为的 --without-http_geo_module。
作用:
模块可以用来创建变量,其值依赖于客户端IP地址.
使用方法:
语法: geo [$address] $variable { ... }
默认值: —
配置段: http
定义从指定的变量获取客户端的IP地址。
1. 默认情况:nginx从$remote_addr变量取得客户端IP地址
geo $caddr {
default 0;
192.168.1.239 1;
192.168.1.200 2;
include conf/cadd.conf;
delete 127.0.0.0/16;
proxy 192.168.100.0/24;
proxy 2001:0db8::/32;
}
用参数解释:
nginx通过CIDR或者地址段来描述地址,支持下面几个参数:
delete:删除指定的网络
default:如果客户端地址不能匹配任意一个定义的地址,nginx将使用此值。 如果使用CIDR, 可以用“0.0.0.0/0”代替default。
include: 包含一个定义地址和值的文件,可以包含多个。
proxy:定义可信地址。 如果请求来自可信地址,nginx将使用其“X-Forwarded-For”头来获得 地址。 相对于普通地址,可信地址是顺序检测的。
proxy_recursive:开启递归查找地址。 如果关闭递归查找,在客户端地址与某个可信地址匹 配时,nginx将使用“X-Forwarded-For”中的最后一个地址来代替原始客户 端地址。如果开启递归查找,在客户端地址与某个可信地址匹配时,nginx 将使用“X-Forwarded-For”中最后一个与所有可信地址都不匹配的地址来代 替原始客户端地址。
ranges:使用以地址段的形式定义地址,这个参数必须放在首位。为了加速装载地址库,地址应按升序定义。
这里,默认把$remote_addr 与geo{} 里的内容进行匹配 , 如果匹配成功,就把$caddr 设为此匹配值(eg: 当$remote_addr 为 ‘192.168.1.239‘,此时 $caddr 为 ‘1‘),在server 里面的其它个作用域就可以使用它了。
实例一 : 根据 geo得到的IP来控制访问目录。
http{
geo $caddr {
default 0;
192.168.1.239 1;
}
server {
......
location /addr {
root /webroot/default/; #设置默认的目录
if ( $caddr = 1 ){
root /webroot/1/; #根据$addr 来指定不同的目录。
}
}
}
#注:基它部分略。
echo "default page" > /webroot/default/addr/index.html
echo "11111 page" > /webroot/1/addr/index.html
现在reload一下nginx
测试:
在192.168.1.239上,执行 curl
得到 “11111 page”
其它主机 ,执行 curl http://192.168.11.239:91/geo
得到 “default page”
2 .使用指定的变量。
http {
geo $arg_boy $blkIP {
default 0;
127.0.0.1 local;
85.77.32.0 net1;
202.90.0.0 net2;
}
}
3 . 匹配原则
geo指令主要是根据IP来对变量进行赋值的。因此geo块下只能定义IP或网络段,否则会报错“nginx: [emerg] invalid network”。
实际应用,可以结合 limit_req 一起,实现简单的DDOS攻击
http{
geo $remote_addr $black_iplist {
default 0;
include black_iplist.conf;
}
limit_req_zone $DDos_IP zone=DDos_IP:10m rate=10r/m;
limit_req zone=DDos_IP burst=1 nodelay;
server {
location / {
if ( $black_iplist = 1 ) #### 判断是否存在黑名单;
{
set $DDos_IP $black_iplist; #### 针对ip进行限速;
# return 503; #### 针对ip直接返回503;
}
}
}
}
时间: 2024-11-10 10:11:52