在我们平常的开发工作中,项目开发、测试完成后进行部署上线。比如电商网站、新闻网站、社交网站等,通常对访问不会进行限制。但是像企业内部网站、内部管理系统等,这种系统一般都需要限制访问,比如内网才能访问等。那么一个网站应该如何限制特定的 IP 访问呢?今天我们来总结下实现的几种方法。
一:通过 nginx 配置
1:可以在 nginx.conf 中设置 IP 访问限制,示例如下:
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log notice;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
access_log /var/log/nginx/access.log main;
sendfile on;
server {
listen 80;
server_name localhost;
# 只允许某个特定 IP 地址访问
allow 192.168.1.1;
deny all;
# 允许访问的 IP 列表,这个命令表示允许的 IP 范围为 192.168.1.0 到 192.168.1.254
allow 192.168.1.0/24;
deny all;
# 拒绝某个特定 IP 访问
deny 192.168.1.1;
allow all;
# 拒绝该 IP 列表访问
deny 192.168.1.0/24;
allow all;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}
}2:当前访问的 IP 地址在 nginx 配置允许的 IP 列表中时,访问页面如下:
3:当前访问的 IP 地址不在 nginx 配置允许的 IP 列表中时,会看到访问拒绝,访问页面如下:
4:总结
设置允许访问的 IP:
(1):只允许某个特定 IP 地址访问,如表示只有 IP 地址为 192.168.1.1 能访问,示例如下:
allow 192.168.1.1;
deny all;(2):允许访问的 IP 列表,如表示 192.168.1.0 到 192.168.1.254 的 IP 地址能访问,示例如下:
allow 192.168.1.0/24;
deny all;设置不能访问的 IP:
(1):设置某个特定 IP 地址访问,如表示只有 IP 地址为 192.168.1.1 不能访问,示例如下:
deny 192.168.1.1;
allow all;(2):不允许访问的 IP 列表,如表示 192.168.1.0 到 192.168.1.254 的 IP 地址不能访问,示例如下:
deny 192.168.1.0/24;
allow all;二:通过防火墙设置
在 Centos 6 及之前版本,iptables 作为防火墙管理工具,在 Centos 7 及之后版本,使用 firewalld 作为防火墙管理工具。
1:使用 iptables 限制 IP 访问
设置允许访问的 IP:
(1):允许某个特定 IP 访问,示例如下:
# 只允许 192.168.1.1 能访问
iptables -A INPUT -s 192.168.1.1 -j ACCEPT
# 保存规则命令
service iptables save(2):允许访问的 IP 段,示例如下:
# 允许 192.168.1.0 - 192.168.1.254 能访问
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
# 保存规则命令
service iptables save设置不能访问的 IP:
(1):不允许某个特定 IP 访问,示例如下:
# 不允许 192.168.1.1 访问
iptables -A INPUT -s 192.168.1.1 -j DROP
# 保存规则命令
service iptables save(2):不允许访问的 IP 段,示例如下:
# 不允许 192.168.1.0 - 192.168.1.254 访问
iptables -A INPUT -s 192.168.1.0/24 -j DROP
# 保存规则命令
service iptables save2:使用 firewalld 限制 IP 访问
设置允许访问的 IP:
(1):允许某个特定 IP 访问,示例如下:
# 只允许 192.168.1.1 能访问
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" accept'
# 重新加载防火墙
firewall-cmd --reload(2):允许访问的 IP 段,示例如下:
# 允许 192.168.1.0 - 192.168.1.254 能访问
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" accept'
# 重新加载防火墙
firewall-cmd --reload设置不能访问的 IP:
(1):不允许某个特定 IP 访问,示例如下:
# 不允许 192.168.1.1 访问
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" reject'
# 重新加载防火墙
firewall-cmd --reload(2):不允许访问的 IP 段,示例如下:
# 不允许 192.168.1.0 - 192.168.1.254 访问
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" reject'
# 重新加载防火墙
firewall-cmd --reload三:总结
以上为常见的设置服务内网访问的方法。可以通过 nginx 配置或者防火墙设置。通过 nginx 实现修改 nginx.conf 配置文件即可。通过防火墙实现,在 Centos 6 及以前版本使用 iptables 作为防火墙,在 Centos 7 版本及以后使用 firewall 作为防火墙。可以设置允许某个 IP 访问、允许某个 IP 段(如 192.168.1.0/24 即表示 192.168.1.0 - 192.168.1.254)访问、设置不允许某个 IP 访问、不允许某个 IP 段访问。如果需要根据 URL 路径实现精准的访问控制,推荐使用 nginx。如果是网络层对访问 IP 或端口的限制,推荐使用防火墙。
