Nginx 位置通过 IP 返回 404 来限制

Nginx location to restrict by IP returning 404

我有一个文件和一个目录,都位于文档根目录中,我需要根据请求的 IP 地址限制对它们的访问。这是我设置的 location 配置(实际路径和 IP 交换示例):

server {
    server_name example.com;

    location ~* /(file.php|directory) {
        allow 1.1.1.10;
        allow 2.2.2.11;
        deny all;
    }
}

我的 Nginx 实例在 CloudFlare 后面,所以我在 Nginx 配置的 http 块中设置了以下规则:

set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 199.27.128.0/21;

real_ip_header CF-Connecting-IP;

我的访问日志显示 IP 地址已根据该配置正确设置。

Nginx 实例用作负载平衡器,将请求传递给上游的一组 Apache 服务器。使用以下 location 配置,上游正常工作:

location / {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header CF-Connecting-IP $http_cf_connecting_ip;
        proxy_set_header CF-Ipcountry $http_cf_ipcountry;
        proxy_set_header CF-Ray $http_cf_ray;
        proxy_set_header Cf-Visitor $http_cf_visitor;

        proxy_pass http://web;
}

我的 IP 限制 location 规则高于配置文件中的 location / 规则。

问题是: 每当我从一个应该允许的 IP 和一个被阻止的 IP 向 IP 限制路径之一发出请求时,我得到404 回应。请求 IP 不影响此响应。

当从被阻止的 IP 请求时,我期待 403 响应。我已经在不同的 server 上测试了相同的 location 配置,它直接处理文件而不是将它们传递给上游,并且它按预期工作,即使在具有相同真实 IP 设置的 CloudFlare 之后。

我还需要做什么才能使此限制正常工作?

问题是您误解了 nginx 如何处理 location 块。有关概述,请参阅 this document

您需要在每个需要执行该功能的 location 块中放置一个 proxy_pass 指令。 proxy_set_header 指令可以从外部块继承。例如:

server {
    server_name example.com;

    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header CF-Connecting-IP $http_cf_connecting_ip;
    proxy_set_header CF-Ipcountry $http_cf_ipcountry;
    proxy_set_header CF-Ray $http_cf_ray;
    proxy_set_header Cf-Visitor $http_cf_visitor;

    location ~* /(file.php|directory) {
        allow 1.1.1.10;
        allow 2.2.2.11;
        deny all;

        proxy_pass http://web;
    }

    location / {
        proxy_pass http://web;
    }
}