项目设置内网 IP 访问实现方案

在我们平常的开发工作中，项目开发、测试完成后进行部署上线。比如电商网站、新闻网站、社交网站等，通常对访问不会进行限制。但是像企业内部网站、内部管理系统等，这种系统一般都需要限制访问，比如内网才能访问等。那么一个网站应该如何限制特定的 IP 访问呢？今天我们来总结下实现的几种方法。

一：通过 nginx 配置

1：可以在 nginx.conf 中设置 IP 访问限制，示例如下：

user nginx;

worker_processes auto;

error_log /var/log/nginx/error.log notice;

pid /var/run/nginx.pid;

events {

worker_connections 1024;

}

http {

include /etc/nginx/mime.types;

default_type application/octet-stream;

access_log /var/log/nginx/access.log main;

sendfile on;

server {

listen 80;

server_name localhost;

# 只允许某个特定 IP 地址访问

allow 192.168.1.1;

deny all;

# 允许访问的 IP 列表，这个命令表示允许的 IP 范围为 192.168.1.0 到 192.168.1.254

allow 192.168.1.0/24;

deny all;

# 拒绝某个特定 IP 访问

deny 192.168.1.1;

allow all;

# 拒绝该 IP 列表访问

deny 192.168.1.0/24;

allow all;

location / {

root /usr/share/nginx/html;

index index.html index.htm;

}

}

}

2：当前访问的 IP 地址在 nginx 配置允许的 IP 列表中时，访问页面如下：

3：当前访问的 IP 地址不在 nginx 配置允许的 IP 列表中时，会看到访问拒绝，访问页面如下：

4：总结

设置允许访问的 IP：

(1)：只允许某个特定 IP 地址访问，如表示只有 IP 地址为 192.168.1.1 能访问，示例如下：

allow 192.168.1.1;

deny all;

(2)：允许访问的 IP 列表，如表示 192.168.1.0 到 192.168.1.254 的 IP 地址能访问，示例如下：

allow 192.168.1.0/24;

deny all;

设置不能访问的 IP：

(1)：设置某个特定 IP 地址访问，如表示只有 IP 地址为 192.168.1.1 不能访问，示例如下：

deny 192.168.1.1;

allow all;

(2)：不允许访问的 IP 列表，如表示 192.168.1.0 到 192.168.1.254 的 IP 地址不能访问，示例如下：

deny 192.168.1.0/24;

allow all;

二：通过防火墙设置

在 Centos 6 及之前版本，iptables 作为防火墙管理工具，在 Centos 7 及之后版本，使用 firewalld 作为防火墙管理工具。

1：使用 iptables 限制 IP 访问

设置允许访问的 IP：

(1)：允许某个特定 IP 访问，示例如下：

# 只允许 192.168.1.1 能访问

iptables -A INPUT -s 192.168.1.1 -j ACCEPT

# 保存规则命令

service iptables save

(2)：允许访问的 IP 段，示例如下：

# 允许 192.168.1.0 - 192.168.1.254 能访问

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

# 保存规则命令

service iptables save

设置不能访问的 IP：

(1)：不允许某个特定 IP 访问，示例如下：

# 不允许 192.168.1.1 访问

iptables -A INPUT -s 192.168.1.1 -j DROP

# 保存规则命令

service iptables save

(2)：不允许访问的 IP 段，示例如下：

# 不允许 192.168.1.0 - 192.168.1.254 访问

iptables -A INPUT -s 192.168.1.0/24 -j DROP

# 保存规则命令

service iptables save

2：使用 firewalld 限制 IP 访问

设置允许访问的 IP：

(1)：允许某个特定 IP 访问，示例如下：

# 只允许 192.168.1.1 能访问

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" accept'

# 重新加载防火墙

firewall-cmd --reload

(2)：允许访问的 IP 段，示例如下：

# 允许 192.168.1.0 - 192.168.1.254 能访问

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" accept'

# 重新加载防火墙

firewall-cmd --reload

设置不能访问的 IP：

(1)：不允许某个特定 IP 访问，示例如下：

# 不允许 192.168.1.1 访问

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" reject'

# 重新加载防火墙

firewall-cmd --reload

(2)：不允许访问的 IP 段，示例如下：

# 不允许 192.168.1.0 - 192.168.1.254 访问

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" reject'

# 重新加载防火墙

firewall-cmd --reload

三：总结

以上为常见的设置服务内网访问的方法。可以通过 nginx 配置或者防火墙设置。通过 nginx 实现修改 nginx.conf 配置文件即可。通过防火墙实现，在 Centos 6 及以前版本使用 iptables 作为防火墙，在 Centos 7 版本及以后使用 firewall 作为防火墙。可以设置允许某个 IP 访问、允许某个 IP 段（如 192.168.1.0/24 即表示 192.168.1.0 - 192.168.1.254）访问、设置不允许某个 IP 访问、不允许某个 IP 段访问。如果需要根据 URL 路径实现精准的访问控制，推荐使用 nginx。如果是网络层对访问 IP 或端口的限制，推荐使用防火墙。