Med tiden när vi har en levande webbplats som använder Nginx vi märker något konstigt beteende från vissa IP -adresser, i allmänhet tillhör dessa adresser robotar eller skadliga agenter som attackerar vår tjänst.
Även om vi har sett hur man blockerar åtkomst och trafik med GeoIP -modul, det finns också ett enklare och mer direkt sätt att utföra denna typ av lås, tack vare detta om vi inte har GeoIP -modul tillgängliga kan vi göra en bra uppsättning regler som gör att vi kan reglera åtkomst till vår webbplats.
Svartlista
Att administrera en server innebär att vi har vissa policyer som garanterar säkerheten för våra data utöver att säkerställa att våra resurser fungerar korrekt, ett hinder vi står inför är attacker och massiva konsultationer av bots, explorer -skript eller till och med skadliga agenter.
Av ovanstående skäl måste vi hantera en svart lista som tillåter oss blockera IP -adresser som vi vet är strukturerade och inte avser organisk trafik för våra webbplatser som servas av Nginx.
För att bygga dessa svarta listor kan vi blockera med IP eller med uppsättning IP -adresser, på så sätt kan vi lindra situationen lite och få en hälsosammare serviceutveckling.
Hur bygger man svartlistan?
För att skapa vår svarta lista måste vi använda reglerna förneka Y tillåta så att vi kan ange intervallet för IP -adresserna för att blockera eller helt enkelt placera specifika adresser, måste detta göras mycket noggrant eftersom vi kan blockera fler användare än önskat om vi inte placerar regeln korrekt.
Låt oss se i följande bild en exempelkod för hur man gör en grundläggande konfiguration av åtkomstblockering:
I koden ser vi hur vi använder förneka för att ange en viss IP och sedan med tillåt, anger vi ett antal adresser med undermask / 24, Det här exemplet används ofta när vi segmenterar en tjänst inom ett lokalt nätverk, så att en avdelning inte kan ansluta till den tjänst den är värd för Nginx.
ViktigEn annan aspekt som vi kan kombinera när vi använder den här typen av lås är att veta vilket fel vi ska kasta på dem, till exempel om vi blockerar möjliga attacker är det bäst att kasta ett fel 404 sida hittades inte för att inte stimulera till en starkare attack om angriparen vet att de nekas inträde, men i en lokal nätverksmiljö är kanske det mest idealiska att vi anger med en 403 som kommer åt ett begränsat område.
För att avsluta denna handledning ser vi att det är mycket enkelt att utföra denna typ av lås och vi är inte beroende av andra moduler, tack vare detta med en standard eller reducerad installation av Nginx vi kommer att kunna genomföra vår säkerhetspolicy.
Gillade du och hjälpte denna handledning?Du kan belöna författaren genom att trycka på den här knappen för att ge honom en positiv poäng
