в debian, nginx

Nginx + GeoIP: блокировка пользователей из определенных стран

nginx
Ранее мы уже рассматривали варианты ограничения доступа к сайту с помощью web-сервера Nginx, но порой возникает необходимость блокировки доступа пользователям из определенных стран (чаще всего дальневосточных). Конечно, пользователи всегда смогут воспользоваться прокси и обойти запрет, но в большинстве случаев предлагаемого функционала будет вполне достаточно.

Самый простой и быстрый способ сделать это на уровне web-сервера Nginx с использованием модуля GeoIP — давайте разберемся!

Устанавливаем необходимые пакеты в системе:

apt-get update && apt-get install geoip-database libgeoip1

Обновим базу GeoIP до актуальной версии:

mv /usr/share/GeoIP/GeoIP.dat /usr/share/GeoIP/GeoIP.dat_bak
cd /usr/share/GeoIP/
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
gunzip GeoIP.dat.gz

Теперь, с помощью команды nginx -V убедимся, что наш web-сервер собран с параметром --with-http_geoip_module. Если нет — приступаем к самостоятельной сборке Nginx, благо мы это уже делали — раз, два, три.

Скачиваем и распаковываем исходники актуальной версии Nginx:

cd /opt/ && wget http://nginx.org/download/nginx-1.12.1.tar.gz && tar xf nginx-1.12.1.tar.gz

Скачиваем и распаковываем исходники последней стабильной версии OpenSSL:

wget https://www.openssl.org/source/openssl-1.1.0f.tar.gz && tar xf openssl-1.1.0f.tar.gz

Получаем код модуля ngx_brotli:

git clone https://github.com/google/ngx_brotli.git
cd /opt/ngx_brotli && git submodule update --init  && cd /opt

Переходим в каталог с исходниками Nginx, собираем и запускаем его:

cd /opt/nginx-1.12.1
./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules \
--conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log \
--pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp \
--http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx \
--group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module \
--with-http_geoip_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module \
--with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module \
--with-http_stub_status_module --with-http_auth_request_module --with-threads --with-stream \
--with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio \
--with-http_v2_module --with-cc-opt='-g -O2 -fstack-protector-strong -Wformat -Werror=format-security \
-Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,--as-needed' \
--with-openssl=/opt/openssl-1.0.2f --add-module=/opt/ngx_brotli
make
make install
service nginx restart

Каталоге с конфигурационными файлами web-сервера Nginx создадим файл block.map.include следующего содержания:

map $geoip_country_code $allowed_country {
        default yes;
        CN no;
        VN no;
        TW no;
}

В данном примере мы запрещаем доступ к сайту пользователям из Китая, Вьетнама и Тайваня.

В конфигурацонном файле /etc/nginx/nginx.conf в секции http добавляем следующую строку:

...
        include include/block.map.include;
...

После чего в настройках хоста (секция server) вставляем следующую конструкцию:

...
        if ($allowed_country = no) {
            return 404;
        }
...

Применяем изменения:

nginx -s reload

Если все сделано правильно, то пользователи из вышеназванных стран больше не будут вас беспокоить.

Добавить комментарий

  1. Несколько не согласен с радикальными мерами по сборке nginx из-за данного модуля. Его можно же подключить как динамический

    yum install nginx-module-geoip | apt-get install nginx-module-geoip
    и потом в конфиге
    load_module «modules/ngx_http_geoip_module.so»;