Nginx中自带GeoIP模块可以屏蔽指定IP的请求,只不过默认没有被编译,打开以后我们只要再下载一个IP规则就行,Nginx服务器中配置GeoIP模块来拦截指定国家IP
最近有一个网站项目需求:需要屏蔽国内的方问请求。花时间研究了一下这方面的资料。目前找到的最佳方法就是使用 Nginx 的 GeoIP 模块来实现地区的识别。然后配置相关国家的 ISO 名称,禁止访问即可。记录一下相关过程。
编译 GeoIP 组件
maxmind 提供的免费版数据库已经可以满足需求,在使用数据库前,需要先编译 GeoIP 组件:
|
1 2 3 4 |
|
下载 IP 库
从 maxmind 下载 IP 数据包并解压。 这个是国家的ip数据包:
|
1 2 |
|
这个是城市的ip数据包:
|
1 2 |
|
执行完上面的命令后,会得到 GeoIP.dat 和 GeoLiteCity.dat 文件。将这两个文件复制到 Nginx 的 conf 目录。
编译 Nginx
nginx默认不编译这个模块,需要开启–with-http_geoip_module编译选项。
模块依赖MaxMind GeoIP库。
配置 Nginx
接下来就需要配置 Nginx,首先需要在 Nginx 配置文件中的 http 区块中加载 GeoIP 的数据包:
|
1 2 |
|
禁止国家访问
只需要在网站的 Nginx 配置中加入下面的示例的代码:
|
1 2 3 |
|
上面的配置表示只要是国内的 IP,就拒绝访问。
GeoIP 组件配置项参考
GeoIP 中跟国家相关的变量:
|
1 2 3 |
|
GeoIP 中跟国家下级区域相关的变量:
|
1 2 3 4 5 6 7 8 9 |
|
在 php 中测试 GeoIP
首先需要在 fastcgi_params 或 fastcgi.conf 中引入 GeoIP 的属性:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
|
然后在 web 目录中增加一个 php 文件,代码如下:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
|
访问 php 文件,就会显示你当前所在 IP 的相关地理信息。
php 也提供了 GeoIP 模块,需要手动编译。也需要加载 GeoIP 库。效率上应该还是不如 Nginx 的方式。
常用指令总结
1.geoip_country database;
默认值: —
上下文: http
指定数据库,用于根据客户端IP地址得到其所在国家。 使用这个数据库时,配置中可用下列变量:
(1)$geoip_country_code
双字符国家代码,比如 “RU”,“US”。
(2)$geoip_country_code3
三字符国家代码,比如 “RUS”,“USA”。
(3)$geoip_country_name
国家名称,比如 “Russian Federation”,“United States”。
2.geoip_city database;
默认值: —
上下文: http
指定数据库,用于根据客户端IP地址得到其所在的国家、行政区和城市。 使用这个数据库时,配置中可用下列变量:
(1)$geoip_city_country_code
双字符国家代码,比如 “RU”,“US”。
(2)$geoip_city_country_code3
三字符国家代码,比如 “RUS”,“USA”。
(3)$geoip_city_country_name
国家名称,比如 “Russian Federation”,“United States”。
(4)$geoip_region
国家行政区名(行政区、直辖区、州、省、联邦管辖区,诸如此类),比如 “Moscow City”,“DC”。
(5)$geoip_city
城市名称,比如 “Moscow”,“Washington”。
(6)$geoip_postal_code
邮编。
3.geoip_proxy address | CIDR;
默认值: —
上下文: http
这个指令出现在版本 1.3.0 和 1.2.1.
定义可信地址。 如果请求来自可信地址,nginx将使用其“X-Forwarded-For”头来获得地址。
4.geoip_proxy_recursive on | off;
默认值:
geoip_proxy_recursive off;
上下文: http