怎么样在Linux下配置Nginx以限制网站用户用代理IP访问

在Linux操作中有时会遇见用代理ip来访问的网站用户，这就需要配置Nginx限制其访问，下面记者就给大伙介绍下Linux系统中怎么样配置Nginx来拒绝代理ip访问。

先大概说说简单的结构前端一个Nginx反向代理，后端一个Nginx instance app for PHP事实上就是个Discuz，之前面对CC攻击都是预警脚本或者走CDN，但这次攻击者不再打流量，而是针对数据库请求页面进行攻击，如search操作帖子ID F5等。。从日志剖析来看是从3个URL着手攻击的，当时用Nginx 匹配$query_string 来return 503不过会致使页面不可以访问，所以想到这么一个折中的方法。

第一你看一段代理请求的日志：

##通过剖析，在后端发现其代理访问过来的数据都是两个IP的，默认状况下直接访问获得真实IP，其IP只有一个，而通过手机 3G\4G上网则是2个IP，不过有匿名IP的话，到服务器则只有一个IP，这种就不太好判断了。。。

［root@ipython conf］# tail -f /var/log/nginx/logs/access.log | grep ahtax

120.193.47.34 - - ［26/Sep/2014:23:34:44 +0800］ GET /ahtax/index.html HTTP/1.0 503 1290 - Mozilla/5.0 （Windows NT 6.1; WOW64） AppleWebKit/537.36 （KHTML， like Gecko） Chrome/31.0.1650.63 Safari/537.36 10.129.1.254， 120.193.47.34

用PHP剖析下访问时的_SERVER变量

代码如下：

［root@ipython conf］# cat /%path%/self_.php

《？php

if （$_SERVER［HTTP_X_FORWARDED_FOR］！=）

{

$user_ip=$_SERVER［HTTP_X_FORWARDED_FOR］;

}elseif（$_SERVER［HTTP_X_REAL_IP］！=）{

$user_ip=$_SERVER［HTTP_X_REAL_IP］;

}else{

$user_ip=$_SERVER［REMOTE_ADDR］;

}

echo $user_ip.

;

foreach（$_SERVER as $key=》$value）

echo $key.＼t。$value。

;

？》

通过浏览器访问确认有关参数

有了这个特点就非常不错判断了。

第一需要有一个正则来匹配日志里的两个IP，Nginx正则依靠pcre库。。。

代码如下：

［root@ipython conf］# pcretest

PCRE version 7.8 2008-09-05

re》 ^＼d+.＼d+.＼d+.＼d+＼W＼s＼d+.＼d+.＼d+.＼d+$

data》 192.168.1.1， 1.1.1.1

0： 192.168.1.1， 1.1.1.1

Nginx配置文件在location $dir 中加入条件来匹配http_x_forwarded_for：

#proxy

if （$http_x_forwarded_for ~ ^＼d+.＼d+.＼d+.＼d+＼W＼s＼d+.＼d+.＼d+.＼d+$）{

return 503;

}

重载配置后就能限制用代理IP来访问的网站用户了

上面就是配置Nginx来拒绝代理ip访问的用户的办法介绍了，用该办法不会致使页面没办法访问，假如你需要限制用户用代理ip访问的话，可以试一试该办法。