1.0 geoip2核心识别库

安装geoip2 lib步骤:

cd /usr/local/src

rm -f libmaxminddb-1.4..tar.gz

wget https://github.com/maxmind/libmaxminddb/releases/download/1.4.2/libmaxminddb-1.4.2.tar.gz

tar -xzf libmaxminddb-1.4..tar.gz

cd libmaxminddb-1.4.

yum install gcc gcc-c++ make -y

./configure

make

make check

sudo make install

echo '/usr/local/lib' > /etc/ld.so.conf.d/geoip.conf

sudo ldconfig

2.0 下载ngx_http_geoip2_module 模块

cd /usr/local/src

wget https://github.com/leev/ngx_http_geoip2_module/archive/3.3.tar.gz

tar -xzf 3.3.tar.gz

mv ngx_http_geoip2_module-3.3 ngx_http_geoip2_module 

nginx集成步骤:

cd /usr/local/src

wget http://nginx.org/download/nginx-1.16.1.tar.gz

tar -zxf nginx-1.16..tar.gz

cd nginx-1.16.1
useradd -M -s /sbin/nologin www

yum install gcc gcc-c++ make pcre-devel zlib-devel openssl-devel -y

./configure --user=www --group=www --prefix=/usr/local/nginx \

--with-ld-opt="-Wl,-rpath -Wl,/usr/local/lib" \

--with-http_sub_module \

--with-http_realip_module \

--with-http_gzip_static_module \

--with-http_ssl_module \

--with-http_v2_module \

--add-module=/usr/local/src/ngx_http_geoip2_module

make

make install

geoip2 IP地址库下载:

2020年最新GeoLite2-City.mmdb 无法直接下载,必须注册maxmind账号

. 需要在maxmind 后台注册账号,并且生成Account/User ID 和 License key

. 安装geoipupdate, 下载地址https://github.com/maxmind/geoipupdate/releases

. 配置geoipupdate的GeoIP.conf , 填写maxmind账号的User ID 和 License key 和 EditionIDs

博主使用的是centos

安装如下
cd /usr/local/src/

wget https://github.com/maxmind/geoipupdate/releases/download/v4.2.0/geoipupdate_4.2.0_linux_amd64.rpm

rpm -ivh geoipupdate_4..0_linux_amd64.rpm

rpm -ql geoipupdate

vi /etc/GeoIP.conf

#填写AccountID XXXX

#填写LicenseKey XXXX

#EditionIDs可以不修改,系统默认有填 GeoLite2-Country GeoLite2-City

#笔者EditionIDs只保留GeoLite2-City

#保存退出

运行geoipupdate

/usr/bin/geoipupdate

cd /usr/share/GeoIP/

会看到GeoLite2-City.mmdb

把GeoLite2-City.mmdb文件cp到需要使用的目录
sudo mkdir -p /usr/local/nginx/geoip/
\cp -rf /usr/share/GeoIP/GeoLite2-City.mmdb /usr/local/nginx/geoip/maxmind-city.mmdb

注意GeoLite2 City 和GeoLite2 Country 两个IP库,请下载City的mmdb数据文件,较于其他两者信息更丰富

nginx 配置geoip2 样例,geoip2的配置字段在http

http {

    ...

geoip2 /usr/local/nginx/geoip/maxmind-city.mmdb {

    $geoip2_data_country_code default=US source=$remote_addr country iso_code;

    $geoip2_data_country_name country names en;

    $geoip2_data_city_name default=London city names en;

    $geoip2_data_province_name subdivisions  names en;

    $geoip2_data_province_isocode subdivisions  iso_code;

}

    ....

    fastcgi_param COUNTRY_CODE $geoip2_data_country_code;

    fastcgi_param COUNTRY_NAME $geoip2_data_country_name;

    fastcgi_param CITY_NAME    $geoip2_data_city_name;

    ....

}

stream {

    ...

geoip2 /usr/local/nginx/geoip/maxmind-city.mmdb {

    $geoip2_data_country_code default=US source=$remote_addr country iso_code;

    $geoip2_data_country_name country names en;

    $geoip2_data_city_name default=London city names en;

    $geoip2_data_province_name subdivisions  names en;

    $geoip2_data_province_isocode subdivisions  iso_code;

    }

    ...

}

nginx配置中的变量名如,geoip2_data_country_code,geoip2_data_country_name 等等,都是自定义的名称,可以加在日志字段中

3.0 在nginx 中配置黑名单国家的变量 $blacklist_country

在http{} 字段,任何include之前,添加如下配置

[...]

    map geoip2_data_country_code $allowed_country {

        default yes;

        US no;

        JP no;

        SG no;

    }

[...]

以上配置将允许所有的国家,除了美国,日本,和新加坡 (您可以查看所有国家代码的列表,点这里

相反的,如果你想阻止所有国家,除了少数几个国家可以访问,请参考如下的配置

[...]

    map geoip2_data_country_code $allowed_country {

        default no;

        CN yes;

        HK yes;

        US yes;

    }

[...]

现在,你做了如上配置,并不会阻止任何的国家,那只是设置了一个变量$allowed_country
想要实际阻止国家/地区,必须修改vhost的配置
把下面的代码放到server{}字段, 这个代码也可以放到location{}字段

[...]

        if ($allowed_country = no) {

            return 403;

        }

[...]

任何从黑名单国家的用户访问,都会收到403错误代码,

修改完配置,不要忘记reload nginx

/usr/local/nginx/sbin/nginx -s reload

4.0 通过如下命令可以直接本地查询IP信息

/usr/local/bin/mmdblookup --file /usr/local/nginx/geoip/maxmind-city.mmdb --ip 8.8.8.8

会出来许多信息,用json格式展示

  {

    "country":

      {

        "geoname_id":

           <uint32>

        "iso_code":

          "US" <utf8_string>

        "names":

          {

            "de":

              "USA" <utf8_string>

            "en":

              "United States" <utf8_string>

          }

      }

  }

如果IP 后面可以跟不同的查询,如下面查询了国家的英文名

/usr/local/bin/mmdblookup --file /usr/local/nginx/geoip/maxmind-city.mmdb --ip 8.8.8.8 country names en

  "United States" <utf8_string>

2020年,最新NGINX的ngx_http_geoip2模块以精准禁止特定国家或者地区IP访问的更多相关文章

  1. nginx的ngx_http_geoip2模块以精准禁止特定地区IP访问

    要求:对网站的信息,比如某个访问节点不想国内或者国外的用户使用,禁止国内或者国外或者精确到某个城市的那种情况. 解决方式:1.Cloudfalre来实现禁止特定国家的ip访问,比较简单,但是需要mon ...

  2. 企业运维实践-Nginx使用geoip2模块并利用MaxMind的GeoIP2数据库实现处理不同国家或城市的访问最佳实践指南

    关注「WeiyiGeek」公众号 设为「特别关注」每天带你玩转网络安全运维.应用开发.物联网IOT学习! 希望各位看友[关注.点赞.评论.收藏.投币],助力每一个梦想. 本章目录 目录 0x00 前言 ...

  3. nginx禁止特定UA访问

    一.UA是什么? User Agent 简称UA,就是用户代理.通常我们用浏览器访问网站,在网站的日志中,我们的浏览器就是一种UA. 二.禁止特定UA访问 最近有个网站(www.C.com)抄袭公司主 ...

  4. Nginx安装echo模块

    echo-nginx-module 模块可以在Nginx中用来输出一些信息,可以用来实现简单接口或者排错. 项目地址:https://github.com/openresty/echo-nginx-m ...

  5. 开始Nginx的SSL模块

    nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/n ...

  6. nginx內建模块使用

    目录 nginx內建模块使用 1. 內建模块的引入 1.1 查看安装信息 1.2 重新指定配置信息 2. 內建模块的使用 2.1 http_stub_status_module 2.2 http_ra ...

  7. nginx 安装第三方模块(lua)并热升级

    需求: nginx上将特定请求拒绝,并返回特定值. 解决办法: 使用lua脚本,实现效果. 操作步骤: 安装Luajit环境 重新编译nginx(目标机器上nginx -V 配置一致,并新增两个模块n ...

  8. 2020年最新ZooKeeper面试题(附答案)

    2020年最新ZooKeeper面试题 1. ZooKeeper 是什么? ZooKeeper 是一个开源的分布式协调服务.它是一个为分布式应用提供一致性服务的软件,分布式应用程序可以基于 Zooke ...

  9. Nginx 编译 echo 模块

    Nginx  编译 echo 模块 echo模块下载地址:https://github.com/openresty/echo-nginx-module 查看nginx已经编译的模块, nginx -V ...

随机推荐

  1. 9种分布式ID生成之 美团(Leaf)实战

    整理了一些Java方面的架构.面试资料(微服务.集群.分布式.中间件等),有需要的小伙伴可以关注公众号[程序员内点事],无套路自行领取 更多优选 一口气说出 9种 分布式ID生成方式,面试官有点懵了 ...

  2. android sdk manager 无法更新,解决连不上dl.google.com的问题

    感谢博主的帮助,入口在这:https://www.jianshu.com/p/8fb367a51b9f?utm_campaign=haruki&utm_content=note&utm ...

  3. Ubuntu系统下使用php7+mysql+apache2搭建自己的博客

    很多人都有写博客的习惯,奈何国内的博客网站正在一家家地关闭与重整,部分博客网站也充斥着太多的广告,使用体验非常不好.对于爱写博客的朋友来说,其实还有一个更好的选择,那就是自己搭建一个博客. 搭建一个自 ...

  4. Ajax0002: 省市县三级联动案例

  5. 深度(deepin)系统不能ssh root用户登录

    vi /etc/ssh/sshd_config找到这一部分信息刚进去信息应该是这样 # Authentication: #LoginGraceTime 2m #PermitRootLogin proh ...

  6. NFS服务配置 Linux

    两台机器: NFS服务器:192.168.1.100 (我的是Ubuntu系统) 客户机:192.168.1.123 (保证两台机器互相可以ping通) 需求:在NFS服务器上创建一个共享文件夹/ho ...

  7. Django csrf校验

    引入: 通常,钓鱼网站本质是本质搭建一个跟正常网站一模一样的页面,用户在该页面上完成转账功能 转账的请求确实是朝着正常网站的服务端提交,唯一不同的在于收款账户人不同. 如果想模拟一个钓鱼网站,就可是给 ...

  8. 一个最简单的Dockfile实践

    一:一个Dockerfile文件 FROM bash COPY . /usr/jinliang/ WORKDIR /usr/jinliang/ CMD [ "sh", " ...

  9. CMD命令下图片合成一句话木马命令

    非常简单,我们只需要一张图片1.jpg一句话木马写好的php文件 1.php之后我们进入到命令行.注意:将php文件和图片文件放到同一目录下,cmd也要跳转到放文件的目录下之后执行命令 copy .j ...

  10. TCP/IP详解阅读记录----第一章 概述

    1.TCP/IP协议族中不同层次的协议 2.五类互联网地址 3.各类IP地址范围 4.数据进入协议栈时的封装过程 5.以太网数据帧的分用过程