NGINX系列(五) 基于地理位置的访问控制 1 2 3 4 5 6 7 作者:李晓辉 联系方式: 1. 微信:Lxh_Chat 2. 邮箱:939958092@qq.com
环境介绍 操作系统 IP地址 主机名 NGINX版本 角色 Rocky9.4 192.168.8.3 loadbalance.xiaohui.cn 1.26.2 负载均衡
环境架构图 在这个架构中:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 +------------------------+ | loadbalance.xiaohui.cn | | 192.168.8.3 | | (NGINX) | +------------------------+ | | +-------------------------+-------------------------+ | | | | +-------------------------+ +-------------------------+ | 北京(BEIJING) | | 上海(SHANGHAI) | | 访问允许 (Access Allowed) | | 访问拒绝 (Access Denied) | +-------------------------+ +-------------------------+
实验先决条件准备 准备hosts文件 这一步,需要在所有机器上完成准备,以便于大家都能用名称互相解析和访问
1 2 3 cat > /etc/hosts <<EOF 192.168.8.3 loadbalance.xiaohui.cn loadbalance EOF
下载GeoIP数据库 GeoIP数据库是一种将IP地址与地理位置相关联的数据库。它的主要功能是通过用户的IP地址来确定他们所在的地理位置。
使用GeoIP数据库,可以实现以下功能:
内容本地化 :根据用户所在的地理位置提供定制的内容,例如语言、货币和时区等。
广告定向 :根据用户的地理位置投放更具针对性的广告,提高广告的效果。
访问控制 :限制或允许特定地区的用户访问某些内容或服务。
统计分析 :分析用户的地理分布,帮助企业了解市场和用户群体。
欺诈检测 :通过检测异常的地理位置访问,帮助识别潜在的欺诈行为。
这些功能在电子商务、网络安全、广告投放等领域都有广泛应用。GeoIP数据库通过定期更新来确保其数据的准确性和可靠性。
我们的nginx就用到了第三条访问控制,不过这个数据库需要注册才能下载
注册地址GeoLite2 Sign Up | MaxMind
下载地址 GeoLite2 Download
城市数据库名:GeoLite2 City
国家数据库名:GeoLite2 Country
以上两个数据库下载号是两个gzip文件,只需要里面两个mmdb文件即可,将这两个文件放入到/usr/local/geoip文件夹中,或者任何你觉得合适的位置
1 2 3 4 5 6 [root@loadbalance ~]# mkdir /usr/local/geoip [root@loadbalance ~]# cp GeoLite2-City.mmdb GeoLite2-Country.mmdb /usr/local/geoip [root@loadbalance ~]# ll /usr/local/geoip total 65120 -rw-r--r--. 1 root root 58830694 Jan 18 20:15 GeoLite2-City.mmdb -rw-r--r--. 1 root root 7849237 Jan 18 20:15 GeoLite2-Country.mmdb
安装Libmaxminddb工具 读取MaxMind DB文件 :Libmaxminddb是一个C语言库,专门用于读取MaxMind DB文件,包括GeoIP2数据库。这使得开发者可以在应用程序中轻松地查询IP地址的地理位置信息
以下是这个工具的发布页面:
1 https://github.com/maxmind/libmaxminddb/releases
自己选一个版本即可,我这里最新的是1.12.2
1 wget https://github.com/maxmind/libmaxminddb/releases/download/1.12.2/libmaxminddb-1.12.2.tar.gz
编译安装
1 2 3 4 5 6 7 dnf config-manager --set-enabled devel dnf install gcc -y tar xf libmaxminddb-1.12.2.tar.gz cd libmaxminddb-1.12.2/make make install ldconfig
一般来说,上面的安装就好了,如果收到libmaxminddb.so.0 is missing这样的报错,就这么处理
1 2 echo /usr/local/lib >> /etc/ld.so.conf.d/local.confldconfig
重新编译安装NGINX 默认情况下,nginx并没有带此任务所需要的模块,需要我们编译带有基于地理位置访问控制的NGINX来替换我们线上的nginx程序
准备软件仓库 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 cat > /etc/yum.repos.d/nginx-prep.repo <<EOF [baseos] baseurl =https://mirrors.nju.edu.cn/rocky-vault/9.4 /BaseOS/x86_64 /os/enabled =1 gpgcheck =0 name =baseo[appstreamstream] baseurl =https://mirrors.nju.edu.cn/rocky-vault/9.4 /AppStream/x86_64 /os/enabled =1 gpgcheck =0 name =appstream-stream[epel-repo] baseurl =https://mirrors.tuna.tsinghua.edu.cn/epel/9 /Everything/x86_64 /enabled =1 gpgcheck =0 name =epel-repoEOF
下载匹配版本的nginx 先看看我们现在安装的nginx是什么版本,之后从官网下载同样的版本
1 2 [root@loadbalance ~]# nginx -v nginx version: nginx/1.26.2
从官网下载1.26.2源码包
1 2 wget http://nginx.org/download/nginx-1.26.2.tar.gz tar zxvf nginx-1.26.2.tar.gz
编译NGINX模块 将地理位置识别功能添加到nginx中,有静态模块和动态模块两种方法,我们这里就采用静态方法
在编译安装NGINX的第三方模块时,静态模块和动态模块有以下主要区别:
静态模块 :
编译方式 : 静态模块在编译NGINX的源代码时一起编译进可执行文件。这意味着你需要重新编译NGINX才能加入或移除静态模块。
加载方式 : 静态模块在NGINX启动时被自动加载。
优点 : 性能更高,因为所有模块已经集成到可执行文件中,不需要在运行时进行额外的加载。
缺点 : 增加或移除模块需要重新编译NGINX,操作相对复杂且耗时。
动态模块 :
编译方式 : 动态模块独立编译,生成.so格式的共享库文件。在NGINX运行时可以动态加载这些模块。
加载方式 : 在NGINX配置文件中通过load_module指令指定模块路径进行加载。
优点 : 更加灵活,增加或移除模块不需要重新编译NGINX,只需修改配置文件。
缺点 : 性能稍低于静态模块,因为在运行时需要进行模块加载操作。
下载模块
模块的发布页为:
1 https://github.com/leev/ngx_http_geoip2_module/releases
我这里最新的是3.4
1 2 3 4 wget https://github.com/leev/ngx_http_geoip2_module/archive/refs/tags/3.4.tar.gz tar xf 3.4.tar.gz -C /usr/local/geoip ls /usr/local/geoip/ngx_http_geoip2_module-3.4/config LICENSE ngx_http_geoip2_module.c ngx_stream_geoip2_module.c README.md
安装编译检查时的依赖项,如果不做这一步,后面的./configure会不成功
1 dnf install -y redhat-rpm-config pcre pcre-devel openssl openssl-devel zlib zlib-devel libmaxminddb
进入到nginx源码包路径执行编译前的检查
1 [root@loadbalance ~]# cd nginx-1.26.2/
确认现有的nginx编译参数,稍后编译的时候要带上这些参数,以确保将来编译好的nginx中原有功能不缺失,下面的configure arguments后面的就是
1 2 3 4 5 6 [root@loadbalance nginx-1.26.2]# nginx -V nginx version: nginx/1.26.2 built by gcc 11.4.1 20231218 (Red Hat 11.4.1-3) (GCC) built with OpenSSL 3.0.7 1 Nov 2022 TLS SNI support enabled configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-http_v3_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -flto=auto -ffat-lto-objects -fexceptions -g -grecord-gcc-switches -pipe -Wall -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -Wp,-D_GLIBCXX_ASSERTIONS -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -fstack-protector-strong -specs=/usr/lib/rpm/redhat/redhat-annobin-cc1 -m64 -march=x86-64-v2 -mtune=generic -fasynchronous-unwind-tables -fstack-clash-protection -fcf-protection -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie'
带上这些参数,执行编译前检查,需要注意的是,我们添加了--add-module=/usr/local/geoip/ngx_http_geoip2_module-3.4/
1 ./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-http_v3_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -flto=auto -ffat-lto-objects -fexceptions -g -grecord-gcc-switches -pipe -Wall -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -Wp,-D_GLIBCXX_ASSERTIONS -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -fstack-protector-strong -specs=/usr/lib/rpm/redhat/redhat-annobin-cc1 -m64 -march=x86-64-v2 -mtune=generic -fasynchronous-unwind-tables -fstack-clash-protection -fcf-protection -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie' --add-module=/usr/local/geoip/ngx_http_geoip2_module-3.4/
以上检查最后会输出以下内容,如果遇到任何报错,需要先解决,直到输出以下内容:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 Configuration summary + using threads + using system PCRE library + using system OpenSSL library + using system zlib library nginx path prefix: "/etc/nginx" nginx binary file: "/usr/sbin/nginx" nginx modules path: "/usr/lib64/nginx/modules" nginx configuration prefix: "/etc/nginx" nginx configuration file: "/etc/nginx/nginx.conf" nginx pid file: "/var/run/nginx.pid" nginx error log file: "/var/log/nginx/error.log" nginx http access log file: "/var/log/nginx/access.log" nginx http client request body temporary files: "/var/cache/nginx/client_temp" nginx http proxy temporary files: "/var/cache/nginx/proxy_temp" nginx http fastcgi temporary files: "/var/cache/nginx/fastcgi_temp" nginx http uwsgi temporary files: "/var/cache/nginx/uwsgi_temp" nginx http scgi temporary files: "/var/cache/nginx/scgi_temp"
检查好了之后,我们来完成编译工作,为了提升编译速度,我同时执行4个编译任务
编译后其实可以直接执行make install来自动覆盖线上服务器正运行的nginx程序,但是为了保险起见,我们先备份后再替换
1 2 3 4 5 6 7 8 9 10 11 [root@loadbalance nginx-1.26.2]# which nginx /sbin/nginx [root@loadbalance nginx-1.26.2]# cp /sbin/nginx / [root@loadbalance nginx-1.26.2]# ls auto CHANGES CHANGES.ru conf configure contrib html LICENSE Makefile man objs README src [root@loadbalance nginx-1.26.2]# ls objs/ addon autoconf.err Makefile nginx nginx.8 ngx_auto_config.h ngx_auto_headers.h ngx_modules.c ngx_modules.o src [root@loadbalance nginx-1.26.2]# systemctl stop nginx [root@loadbalance nginx-1.26.2]# cp objs/nginx /sbin/nginx cp : overwrite '/sbin/nginx' ? y
我们已经成功替换了线上的nginx程序,看看此时nginx程序自带的参数,最后一个就是我们的
1 2 3 4 5 6 [root@loadbalance nginx-1.26.2]# nginx -V nginx version: nginx/1.26.2 built by gcc 11.5.0 20240719 (Red Hat 11.5.0-2) (GCC) built with OpenSSL 3.2.2 4 Jun 2024 TLS SNI support enabled configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-http_v3_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -flto=auto -ffat-lto-objects -fexceptions -g -grecord-gcc-switches -pipe -Wall -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -Wp,-D_GLIBCXX_ASSERTIONS -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -fstack-protector-strong -specs=/usr/lib/rpm/redhat/redhat-annobin-cc1 -m64 -march=x86-64-v2 -mtune=generic -fasynchronous-unwind-tables -fstack-clash-protection -fcf-protection -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie' --add-module=/usr/local/geoip/ngx_http_geoip2_module-3.4/
如果重启nginx服务无法启动,可以这样查询一下
1 2 3 [root@loadbalance nginx-1.26.2]# journalctl -xeu nginx ... Jan 18 21:19:00 loadbalance.xiaohui.cn nginx[25091]: /usr/sbin/nginx: error while loading shared libraries: libmaxminddb.so.0: cannot open shared object file: No such file or directory
这种报错就是我上面提到的,执行这个就好了
1 2 3 4 [root@loadbalance nginx-1.26.2]# echo /usr/local/lib >> /etc/ld.so.conf.d/local.conf [root@loadbalance nginx-1.26.2]# ldconfig [root@loadbalance nginx-1.26.2]# systemctl daemon-reload [root@loadbalance nginx-1.26.2]# systemctl restart nginx
基于城市限制访问 如果刚才编译用的是动态添加,就需要在主配置文件中的http段上方加载这个模块,而我们是静态添加,就不用了
1 2 3 4 5 vim /etc/nginx/nginx.conf... load_module modules/ngx_http_geoip2_module.so; events {}http {}
创建一个上海不允许访问的例子
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 cat > /etc/nginx/conf.d/geo.conf <<'EOF' geoip2 /usr/local/geoip/GeoLite2-Country.mmdb { $geoip2_country_code country iso_code; } geoip2 /usr/local/geoip/GeoLite2-City.mmdb { $geoip2_city_names city names en; } map $geoip2_country_code $allowed_country { default yes ; CN yes ; } map $geoip2_city_names $allowed_city { default yes ; Shanghai no ; } server { listen 80 ; server_name loadbalance.xiaohui.cn; location / { root /aa; index index.html; } if ( $allowed_city = no ) { return 403 ; }if ( $allowed_country = no ) { return 403 ; }} EOF
geoip2 /usr/local/geoip/GeoLite2-Country.mmdb: 指定GeoLite2国家数据库文件路径。
$geoip2_country_code country iso_code: 提取客户端IP的国家代码,并将其存储在变量$geoip2_country_code中。
geoip2 /usr/local/geoip/GeoLite2-City.mmdb: 指定GeoLite2城市数据库文件路径。
$geoip2_city_names city names en: 提取客户端IP的城市名称,并将其存储在变量$geoip2_city_names中。
map $geoip2_country_code $allowed_country: 根据国家代码映射访问权限,默认允许所有国家(yes),明确允许中国(CN)访问。
map $geoip2_city_names $allowed_city: 根据城市名称映射访问权限,默认允许所有城市(yes),明确禁止上海(Shanghai)访问。
listen 80;: 监听80端口。
server_name httpha.xiaohui.cn;: 服务器名称。
location /: 配置根目录和默认页面。
if ( $allowed_city = no ) { return 403; }: 如果客户端IP的城市名称被禁止,返回403错误。
if ( $allowed_country = no ) { return 403; }: 如果客户端IP的国家代码被禁止,返回403错误。
上方配置文件处$geoip2_city_names city names en;这个变量后面的city names en是固定写法,这是从一个树形的结构中找出来的,还有别的写法,具体查询city names en还可以写成什么,可参考如下结构:
我们的city names en,就是从下面的结构中摘录的,例如我们想要获得Cangzhou这个字符串,那就写city names en,就能获得Cangzhou
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 [root@loadbalance nginx-1.26.2]# mmdblookup --file /usr/local/geoip/GeoLite2-City.mmdb --ip 58.38.61.32 { "city" : { "geoname_id" : 1796236 <uint32> "names" : { "de" : "Shanghai" <utf8_string> "en" : "Shanghai" <utf8_string> "es" : "Shanghai" <utf8_string> "fr" : "Shanghai" <utf8_string> "ja" : "上海" <utf8_string> "pt-BR" : "Xangai" <utf8_string> "ru" : "Шанхай" <utf8_string> "zh-CN" : "上海" <utf8_string> } } "continent" : { "code" : "AS" <utf8_string> "geoname_id" : 6255147 <uint32> "names" : { "de" : "Asien" <utf8_string> "en" : "Asia" <utf8_string> "es" : "Asia" <utf8_string> "fr" : "Asie" <utf8_string> "ja" : "アジア" <utf8_string> "pt-BR" : "Ásia" <utf8_string> "ru" : "Азия" <utf8_string> "zh-CN" : "亚洲" <utf8_string> } } "country" : { "geoname_id" : 1814991 <uint32> "iso_code" : "CN" <utf8_string> "names" : { "de" : "China" <utf8_string> "en" : "China" <utf8_string> "es" : "China" <utf8_string> "fr" : "Chine" <utf8_string> "ja" : "中国" <utf8_string> "pt-BR" : "China" <utf8_string> "ru" : "Китай" <utf8_string> "zh-CN" : "中国" <utf8_string> } } "location" : { "accuracy_radius" : 50 <uint16> "latitude" : 31.222200 <double> "longitude" : 121.458100 <double> "time_zone" : "Asia/Shanghai" <utf8_string> } "registered_country" : { "geoname_id" : 1814991 <uint32> "iso_code" : "CN" <utf8_string> "names" : { "de" : "China" <utf8_string> "en" : "China" <utf8_string> "es" : "China" <utf8_string> "fr" : "Chine" <utf8_string> "ja" : "中国" <utf8_string> "pt-BR" : "China" <utf8_string> "ru" : "Китай" <utf8_string> "zh-CN" : "中国" <utf8_string> } } "subdivisions" : [ { "geoname_id" : 1796231 <uint32> "iso_code" : "SH" <utf8_string> "names" : { "en" : "Shanghai" <utf8_string> "fr" : "Municipalité de Shanghai" <utf8_string> "pt-BR" : "Xangai" <utf8_string> "zh-CN" : "上海" <utf8_string> } } ] }
根据配置文件,我们来准备一下页面
1 2 3 4 [root@loadbalance ~]# mkdir /aa [root@loadbalance ~]# echo "hello geoip test i'm lixiaohui" > /aa/index.html [root@loadbalance ~]# semanage fcontext -a -t httpd_sys_content_t '/aa(/.*)?' [root@loadbalance ~]# restorecon -RvF /aa
把多余的配置文件删了,避免干扰
1 2 3 4 [root@loadbalance ~]# ls /etc/nginx/conf.d/ default.conf geo.conf split.conf [root@loadbalance ~]# mv /etc/nginx/conf.d/default.conf /etc/nginx/conf.d/split.conf /
重启服务后测试
1 2 3 4 [root@loadbalance ~]# curl localhost hello geoip test i'm lixiaohui [root@loadbalance ~]# firewall-cmd --add-service=http --permanent [root@loadbalance ~]# firewall-cmd --reload
从上海访问将会拒绝,显示403
注意事项,我是用云服务器部署的,不然不好测试从城市访问的效果,你可以买一个云服务器尝试
还有在测试的时候,不要开代理或者VPN,不然你实际访问的IP可能不能命中城市代码,我就测试了半天,上海一直能访问,最后才发现,我开着代理,关了才正常返回403了
微信
