authentication - Nginx白名单IP,否则使用证书
问题描述
我正在为我的大学设置一个服务器,该服务器只能从他们的网络内部访问。我可以用 nginx 轻松做到这一点。不幸的是,有些人无法访问此网络/IP 范围。我可以使用带有源 IP 白名单的基本身份验证,但我更喜欢使用证书。
有没有办法首先检查访问是否在允许的 IP 范围内,如果不要求证书?
我试过类似的东西:
server {
root /var/www/html;
index index.html index.htm index.nginx-debian.html;
listen [::]:443 ssl ipv6only=on; # managed by Certbot
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/test.de/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/test.de/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
# server_name _;
server_name test.de;
ssl_client_certificate /etc/nginx/client_certs/ca.crt;
ssl_verify_client optional;
error_log /var/log/nginx/errors.log debug;
location / {
satisfy any;
allow 123.0.0.0/16;
allow 456.0.0.0/16;
deny all;
if ($ssl_client_verify != SUCCESS) {
return 403;
}
try_files $uri $uri/ =403;
}
}
server {
if ($host = test.de) {
return 301 https://$host$request_uri;
} # managed by Certbot
listen 80 ;
listen [::]:80 ;
server_name test.de;
return 404; # managed by Certbot
}
这是行不通的。ssl_client_verify我可以在检查之前检查 IP
if ($remote_addr = 1.2.3.4 )
{
proxy_pass http://10.10.10.1;
break;
}
if ($ssl_client_verify != "SUCCESS")
{ return 403; }
但这对于每个 IP 地址都不可行。
我怎样才能有效地处理这个问题?
提前谢谢你~法比安
解决方案
您可以使用geo块代替allow/deny语句并$ssl_client_verify用作默认值。
例如:
geo $verify {
123.0.0.0/16 "SUCCESS";
456.0.0.0/16 "SUCCESS";
default $ssl_client_verify;
}
server {
if ($verify != "SUCCESS") { return 403; }
...
}
有关详细信息,请参阅此文档。
推荐阅读
- java - 如果在另一个活动中添加数据,如何更新 recyclerView?
- css - &。在 SCSS 中不起作用……为什么不呢?
- ios - AudioKit 录音机设置,麦克风崩溃,“所需条件为假:mixedDest”
- php - 如何使用 const list 显示 json 数据
- javascript - React 路由器在更改路由时重新安装子节点(没有协调)
- python - LableEncoder() 错误(sklearn)
- php - SQL注入安全加密?
- datatables - 基于复选框值的数据行颜色
- python - 无法使用 Python 检测乱码名称
- c++ - 如何在构建时改进我的脚本和复制程序资源?