我在 AWS 的 ELB 后面有一小部分 nginx 实例。这个 ELB 是面向互联网的,并且使用 PROXY 协议,而不是 HTTP。
这是我的相关部分main.vhost
server {
# speak only PROXY protocol
# Accept 80/443; we'll do the http -> https re-dir elsewhere in conf
# SSL is default mode
listen 443 default_server ssl proxy_protocol;
listen 80 proxy_protocol;
我正在尝试使用中的deny指令ngx_http_access_module来防止访问一系列 CIDR 块。
EG:在.confnginx 启动时加载的文件中:
include /etc/nginx/ip_block/*.conf;
并且在/etc/nginx/ip_block/目录中至少有一个文件:
$ cat /etc/nginx/ip_block/some_cidr_ranges.conf | wc -l
361
$ head /etc/nginx/ip_block/some_cidr_ranges.conf
deny 2604:a880:1::/48;
<snip>
deny 208.68.36.0/22;
但是,似乎 nginx 的deny指令只对$remote_addr变量有效,对变量无效$proxy_protocol_addr。这实际上意味着我不能同时使用deny指令和proxy_protocol在一起。
似乎该ngx_stream_realip_module模块可用于将值调整为$remote_addr值$proxy_protocol_addr但是,我可用的 nginx 构建当前未配置--with-stream_realip_module构建标志。我目前正在运行1.10.3,但看起来该with-stream_realip_module标志是在构建中引入的1.11.4(https://github.com/nginx/nginx/commit/fe2774a9d689fa1bf201dd0e89449e3d9e4ad926)
选项 1:从源代码构建具有我需要编译的功能的 nginx 版本。
在查看deny指令的文档时,我发现了这个注释:
In case of a lot of rules, the use of the ngx_http_geo_module module variables is preferable.
来自:https ://nginx.org/en/docs/http/ngx_http_access_module.html
这让我想知道是否有更好的方法来实现阻止 CIDR 范围的目标,该范围可能适用于我目前拥有的 nginx 二进制文件。
我可以尝试这样的事情:
geo $proxy_protocol_addr $blocked_cidr {
default 01;
include conf/some_cidr_ranges_to_block.conf;
}
文件conf/some_cidr_ranges_to_block.conf如下所示:
2604:a880:1::/48 02;
<snip>
208.68.36.0/22 02;
然后在我的服务器指令中,我可以执行以下操作:
if ($blocked_cidr != 01) {
return 403;
}
选项 2:尝试使用geo指令和自定义 IP 范围 -> “国家代码”数据库来阻止流量。
我的问题:
- Is *option 1* going to be a better use of time / is it worth it to build my own version of nginx with the necessary `stream_realip_module` compiled in or is it going to be more performant / effective to use the `geo` directive to map the `$proxy_protocol_addr` onto a set of ranges as shown above (*option 2*)
- Is there some other way to block or filter traffic in nginx by cidr block when using nginx in `proxy_protocol` mode that i have not yet considered?