Cloudflare + nginx 限制ip访问的几种方式(白嫖cloudflare的ip数据库)

于 2025-08-22 16:57:58 发布
阅读量904 收藏 8
点赞数 23
CC 4.0 BY-SA版权
分类专栏: 数通 文章标签: nginx tcp/ip 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i12344/article/details/150614171

之前使用了ngx_http_geoip2_module模块来对自己的博客进行限制国家访问,其实我的博客前面还套了一层cloudflae免费的CDN,还可以用cloudflare来实现这个功能,顺便还能规避使用免费的IP数据库数据更新不及时的问题。

要求:需要域名解析使用Cloudflare ,并且dns记录里开启代理

图片

获取真实ip

在nginx限制国外ip访问结尾说使用cloudflare代理后获取不到访问者真实ip,这里先把这个解决一下

Cloudflare 使用 “CF-Connecting-IP” 标头和 “X-Forwarded-For” 标头发送源服务器访问者的 IP,要将原始访问者 IP 包含在日志中,我们在在 log_format 指令中添加变量 和http_x_forwarded_for即可

根据国家限制

根据国家做限制这里有两种实现方式

1、使用http标头在nginx里做

2、cloudflare上自定义安全规则

1、使用http标头

cloudflare提供了http标头CF-IPCountry包含原始访客国家的两个字符的国家代码。

除了ISO-3166-1 alpha-2 代码之外,Cloudflare 还使用以下特殊国家代码:

  • XX

    - 用于没有国家代码数据的客户,例如CN,US,JP

  • T1

    - 用于使用 Tor 网络的客户端。

我们修改一下日志格式为,在日志中打印一下国家代码

log_format debuglog '
  $remote_addr - $remote_user [$time_local] "$request"
  Status: $status
  Host: $host
  UA: $http_user_agent
  X-Real-IP: $http_x_real_ip
  X-Forwarded-For: $http_x_forwarded_for
  CF-Connecting-IP: $http_cf_connecting_ip
  CF-IPCountry: $http_cf_ipcountry
  Forwarded: $http_forwarded
  All: $http_x_forwarded_for,$http_cf_connecting_ip,$http_x_real_ip
';

访问日志如下:

  162.158.106.132 - - [14/Aug/2025:21:11:29 +0800]"GET /content.json?t=1755177088692 HTTP/1.1"
  Status:200
  Host: www.lishuai.fun
  UA: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
  X-Real-IP:162.158.106.132
  X-Forwarded-For:162.158.106.132
  CF-Connecting-IP:160.16.79.228
  CF-IPCountry: JP
  Forwarded: -
  All:162.158.106.132,160.16.79.228,162.158.106.132

172.71.183.224 - - [14/Aug/2025:21:11:35 +0800]"GET /favicon.ico HTTP/1.1"
  Status:404
  Host: www.lishuai.fun
  UA: Mozilla/5.067805899 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
  X-Real-IP:172.71.183.224
  X-Forwarded-For:172.71.183.224
  CF-Connecting-IP:59.173.133.69
  CF-IPCountry: CN
  Forwarded: -
  All:172.71.183.224,59.173.133.69,172.71.183.224

可以看到日志中打印出的CF-Connecting-IPCF-IPCountry 后的内容就是访客的源IP和访客的国家。

比如我们这里只允许访客IP为中国访问

在nginx配置文件的http段里添加

    map $http_cf_ipcountry  $cf_allowed_country {
                default yes;
                CN no;
    }

在nginx配置文件server段添加

    location @deny403 {
        default_type 'text/html; charset=utf-8';
        return 403 "<html><head><meta charset='UTF-8'></head><body><h1>Access Denied</h1>
            <p>Your IP: $http_cf_connecting_ip</p>
            <p>Your Country: $http_cf_ipcountry</p>
            <p>请使用中国大陆IP访问</p>
            <p>Access is only allowed from IP addresses located in mainland China.</p>
            </body></html>";
    }

    # 使用cf返回的国家code限制
    if ($cf_allowed_country = yes) {
       return 403;
    }

nginx -s reload 重载一下配置验证一下,可以看到我使用日本和美国的ip进行访问均被拒绝了

图片

图片

2、cloudflare上自定义安全规则

复原一下nginx配置,保证对访问无限制,在cloudflare控制台下找到

图片

定义一个规则,针对www.lishuai.fun 阻止访客ip为Japan访问

注意: 这里规则会应用于cloudflare dns记录里所有开启代理的子域名上,如果需要对某个二级域名限制,可以使用主机名过滤一下,这里可以选择的很多,比如 ASN,国家/地区,请求方法,标头,http版本,uri,mime类型等等,不过没有提供根据访问ip所属的城市来限制

图片

我们这时候在使用日本ip访问就会发现,已经被拒绝了,并且403页面也是cloudflare提供的了

图片

根据城市限制

启用添加访问者位置标头的托管转换后,可以获取到更新位置相关的标头

图片

将带有访问者 IP 地址位置信息的 HTTP 标头添加到发送到原始服务器的请求中:

  • cf-ipcity

    :访客所在的城市(来自ip.src.city字段的值)。

  • cf-ipcountry

    :访客的国家(来自ip.src.country字段的值)。

  • cf-ipcontinent

    :访客的大陆(来自ip.src.continent字段的值)。

  • cf-iplongitude

    :访客的经度(来自ip.src.lon字段的值)。

  • cf-iplatitude

    :访客的纬度(来自ip.src.lat字段的值)。

  • cf-region

    :访客的地区(来自ip.src.region字段的值)。

  • cf-region-code

    :访客的地区代码(来自ip.src.region_code字段的值)。

  • cf-metro-code

    :访客的都市代码(来自ip.src.metro_code字段的值)。

  • cf-postal-code

    :访客的邮政编码(来自ip.src.postal_code字段的值)。

  • cf-timezone

    :访问者时区的名称(来自ip.src.timezone.name字段的值)。

注意:即使关闭**“添加访问者位置标头”**,也会向原始服务器发送HTTP 标头,cf-ipcountry 这也是上面不用修改任何设置在配置文件使用$http_cf_ipcountry来对访客的国家做限制。

这时候我们就可以根据城市来限制访问了,修改nginx的配置文件,在http段添加如下日志文件格式,

    log_format  log_cf  '$http_cf_connecting_ip $http_cf_ipcountry $http_cf_ipcity - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for" "$scheme://$host$request_uri" $remote_addr '
                      '$http_cf_ipcontinent $http_cf_iplongitude $http_cf_iplatitude $http_cf_regio' ;

这个时候日志就根据我们的定义打印出了,国家和城市等信息

129.146.246.88 US Phoenix - - [14/Aug/2025:22:39:21 +0800] "GET /favicon.ico HTTP/1.1" 403 311 "https://www.lishuai.fun/2025/08/06/ollam-run-gpt-oss-20b/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36" "172.70.211.195" "http://www.lishuai.fun/favicon.ico" 172.70.211.195 NA -111.99840 33.46650 -
58.59.246.97 CN Nanning - - [14/Aug/2025:22:39:24 +0800] "GET /favicon.ico HTTP/1.1" 404 548 "-" "Mozilla/5.067805899 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36" "172.71.183.224" "http://www.lishuai.fun/favicon.ico" 172.71.183.224 AS 108.31667 22.81667 -

现在有两个ip,所属城市分别Osaka和Tokyo ,现在我想限制ip所属城市为Tokyo时禁止访问

修改nginx配置文件,在http段添加如下

    map $http_cf_ipcity  $cf_deny_city {
        default no ;
        Tokyo yes;
    }

修改nginx配置文件,在server段下添加如下

    location @cfdeny403 {
        default_type 'text/html; charset=utf-8';
        return 403 "<html><head><meta charset='UTF-8'></head><body><h1>Access Denied</h1>
            <p>Your IP: $http_cf_connecting_ip</p>
            <p>Your Country: $http_cf_ipcountry</p>
            <p>Your City: $http_cf_ipcity</p>
            <p>请使用中国大陆IP访问</p>
            <p>Access is only allowed from IP addresses located in mainland China.</p>
            </body></html>";
    }
    if ( $cf_deny_city = yes) {
        return 403;
    }

当使用ip所属城市为Tokyo访问

图片

当使用ip所属城市为Osaka访问正常

图片

通过日志我们也可以看出来,当访问者城市是Tokyo 状态码是403 ,当访问者城市是Osaka ,状态码是200

160.16.79.228 JP Tokyo - - [14/Aug/2025:23:10:03 +0800] "GET /ip.html HTTP/1.1" 403 346 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36" "172.69.165.80" "http://www.lishuai.fun/ip.html" 172.69.165.80 AS 139.69171 35.68950 -
219.94.232.108 JP Osaka - - [14/Aug/2025:23:10:12 +0800] "GET /ip.html HTTP/1.1" 403 205 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36" "162.158.108.110" "http://www.lishuai.fun/ip.html" 162.158.108.110 AS 135.50107 34.69379 -
219.94.232.108 JP Osaka - - [14/Aug/2025:23:10:21 +0800] "GET / HTTP/1.1" 200 18972 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36" "162.158.108.110" "http://www.lishuai.fun/" 162.158.108.110 AS 135.50107 34.69379 -
219.94.232.108 JP Osaka - - [14/Aug/2025:23:10:23 +0800] "GET /content.json?t=1755184223022 HTTP/1.1" 200 4867 "https://www.lishuai.fun/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36" "162.158.108.110" "http://www.lishuai.fun/content.json?t=1755184223022" 162.158.108.110 AS 135.50107 34.69379 -

总结

个人最后还是使用cloudflare提供的标头的方式,通过获取到国家和城市,本来想着使用cloudflare提供的数据能更好的去使用goaccess去分析,并且也不用再去手动更新ip数据库里,并且cloudflare的ip数据库还是很准确的,相当于白嫖了商用IP数据库,结果发现goaccess 中根据ip显示的国家和城市只能通过指定ip数据库文件去解析,这个比较遗憾,不过还是可以根据cloudflare提供的国家和城市,以及goaccess的分析可以更精确的对一些访问进行限制。

使用上海云盾 CDN 和 CloudFlareNginx、 WordPress、 Typecho 获取访客真实 IP 方法
草根博客站长明月登楼的CSDN博客
06-21 709
到这里就完成了 Nginx、 WordPress 、 Typecho 在开启了 CDN 后自动获取用户访客真实 IP 了,最后明月分享了 cdn.conf 文件,大家只需要在 Nginx 的 http 里 include 这个文件就可以完成 Nginx 的配置了,最后重启一下 Nginx 即可生效,至于 WordPress 、 Typecho 的代码大家根据自己情况按照上面说的添加即可。添加代码后,记得一定要重启一下 php-fpm 让代码生效哦,切记!选项,具体大家自行百度就是了,这里就不过多赘述了。
宝塔+cloudflare+Nginx防火墙,网站报错520解决方法
欢迎来到瑆箫博客,专为程序员和编程爱好者打造的技术博客。我们分享编程语言趋势、开发工具、编程哲学、职业发展等,助你掌握新技术,优化技能,激发编程热情。
10-17 2725
如果您在建站中使用了、CDN,最后还使用了宝塔自带的防火墙,那么网站就会报错520,无法打开。正在上传…重新上传取消其实是宝塔自带的Nginx防火墙拦截了cloudflare CDN节点,我们只需要把cloudflare CDN节点添加到白名单中即可。
CloudFlare+Nginx配置HTTPS连接
Redisread的博客
11-18 7294
参考地址: cloudflare.com 使用CloudflareNginx来托管网站 管理 Cloudflare Origin CA 证书 已安装nginx支持https配置 nginx启动、重启、关闭 nginx配置ssl实现https访问 点击SSL/TLS,并且点击源服务器 进入下面的页面,点击下面的创建证书,接下来按照下面链接的指导进行操作: 使用CloudflareNginx来托管网站 同时在Nginx服务器的配置文件nginx.conf中设置相关的配置 nginx配置ssl实现ht
宝塔+cloudflare+Nginx防火墙网站报错520解决方法
qq_29701691的博客
10-12 3159
如果您在建站中使用宝塔面板、cloudflareCDN,最后还使用了宝塔自带的nginx防火墙,那么网站就会报错520,无法打开。​其实是宝塔自带的防火墙拦截了cloudflare CDN节点,我们只需要把cloudflare CDN节点添加到白名单中即可。
获取真实访客 real ip——使用 CloudFlareNginx的前提下
小问题大疑惑
01-13 4259
nginx有关如何配置您的网络服务器以根据您的网络服务器类型记录原始访问IP 的说明: 我的服务器已经安装nginx, 您可以通过检查输出来确认此模块已启用nginx -V 检查结果显示nginx版本和已经构建的模板,检查发现,并不包含需要的 ngx_http_realip_module模块; 所以需要构建模块 ngx_http_realip_module; 1.从Nginx 项目主页下载当前使用版本的 nginx 。 wget http://nginx.org/download/nginx-1.20.
网站配置了Cloudflare代理后,如何配置Nginx获取的真实客户端IP地址?
根叔的修炼笔记
08-15 5366
如何在后台获取真实的访问IP地址? 网站为了避免有些不怀好意的访问者,不得不自动分析一下客户端访问信息,比如同一个IP一秒钟访问了一千次,正常人哪有这么快的手速,直接认定为程序所为(恶意攻击、爬虫等),今天分享下如何在日志中记录访问者的真实IP地址,以及如何配置一些简单的防止访问频率过高的限制。...
为什么在Cloudflare域名绑定添加DNS后,域名+端口无法访问?(Cloudflare域名+端口无法访问的问题详解)
XiaoqiangClub的博客
12-27 3789
为什么在Cloudflare域名绑定添加DNS后,域名+端口无法访问?(Cloudflare域名+端口无法访问的问题详解)
CloudflareNginx 到 Pingora:性能、效率与安全的全面升级
weixin_41544125的博客
06-09 1032
CloudflareNginx 转向 Pingora 是一个具有里程碑意义的决策。Pingora 不仅在性能、效率和安全性方面显著优于 Nginx,还为 Cloudflare 提供了更强大的功能扩展能力。随着 Cloudflare 将 Pingora 开源,这一技术变革有望为整个互联网行业带来新的启示和机遇,推动更多企业探索更高效、更安全的网络服务解决方案。
Cloudflare边缘证书+Nginx反代+Docker零学习成本搭建bitwarden密码管理平台
幻日のヨハネ
02-24 7103
前言 bitwarden 作为一款开源的密码集中管理工具,其便捷性不用多说,特别是支持自建,多端同步使用,浏览器插件支持,密码导出备份,实在是好用的不得了。 官方网站:Bitwarden 官方项目:bitwarden / server 但是要自己搭建一个 bitwarden,成本却颇高,如何零学习成本自建 bitwarden ? 自建 bitwarden 事前准备 首先你要有一台服务器,一个域名,并把你的域名解析到你的服务器,最基本的就不多说了。 部署 docker 环境 这里我们要用 ubuntu ,至于
如何利用Cloudflare获取客户端IP的国家代码?
昊虹AI笔记
01-02 824
如何利用Cloudflare获取客户IP的国家代码?
cloudflare-nginx-ssl-conf:使 cloudflare 的完整 https 工作的基本站点配置
06-01
cloudflare-nginx-ssl-conf 使 cloudflare 的完整 https 工作的基本站点配置 使用以下内容创建 ssl 密钥和证书 - mkdir /etc/nginx/ssl 然后 sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ...
nginx-letsencrypt-multisite:Linode + Ubuntu 16.04 LTS + UFW + Nginx(多站点)+ MySQL + phpMyAdmin + PHP 7 +让我们加密(A + SSL)+ Cloudflare + Wordpress
02-06
包括Ubuntu 16.04 LTS操作系统、UFW防火墙、Nginx Web服务器(支持多站点)、MySQL数据库、phpMyAdmin管理工具、PHP 7、Let's Encrypt免费SSL证书、Cloudflare CDN以及WordPress安装。以下是详细的步骤和知识点: 1...
计算机网络:网络基础、TCP编程
最新发布
2501_91498265的博客
08-21 776
4.4.传输层:transmit control ①定义了一些传输数据的协议和端口号(WWW端口80等),如:TCP(传输控制协议,传输效率低,可靠性强,用于传输可靠性要求高,数据量大的数据),UDP(用户数据报协议,与TCP特性恰恰相反,用于传输可靠性要求不高,数据量小的数据,如QQ聊天数据就是通过这种方式传输的)。如:串口通信中使用到的115200、8、N、1②这一层传输的数据:帧数据 (按到一定格式组织起来的一组数据)3 -- 嗯,好的 --> //喂。
网络间的通用语言TCP/IP-网络中的通用规则2
weixin_44645825的博客
08-18 674
本文介绍了IP通信的基础概念。IP协议用于端到端通信,通过IP数据包封装数据,路由器进行转发。IP地址用于识别通信对象,由网络和主机部分组成,可通过子网掩码划分范围。数据传输方式分为单播(单一接收方)、广播(同一网络所有主机)和组播(特定主机组)。子网掩码以连续1和0表示网络/主机部分,可用十进制或前缀法表示。网络地址(主机位全0)和广播地址(主机位全1)具有特殊用途。
之前说的要写的TCP高性能服务器,今天来了
weixin_55165065的博客
08-18 635
就像在问:“这个事件是监听 socket 触发的吗?如果是,就说明有新客户端要连接;如果不是,就说明是已连接的客户端发来了消息。这是epoll模型中区分 “新连接” 和 “数据通信” 的核心判断。
构建高性能TCP代理:从设计模式到多核优化实战
数字人生
08-21 91
本文提出了一种基于多核优化的高性能TCP代理架构,通过将接收和发送操作分离到不同线程,实现了高效的边收边发数据处理。该方案采用多线程架构,每个工作线程绑定到特定CPU核心,利用epoll边缘触发模式和非阻塞I/O处理高并发连接。系统使用动态缓冲区管理和线程安全队列实现接收/发送解耦,支持20Gbps+吞吐量和50万并发连接。相比单线程模型,8核优化版本将CPU利用率提升至90%以上,延迟降低50%,吞吐量提升3倍。该架构适用于网关、负载均衡等需要高吞吐低延迟的网络中间件场景,通过CPU亲和性、动态缓冲区和零
晨控CK-GW08S与欧姆龙PLC配置Ethernet/IP通讯连接手册
CHENKONG_CK的博客
08-18 467
《CK-GW08S-EIP网关与欧姆龙PLC的Ethernet/IP通讯配置》摘要:本文详细介绍了CK-GW08S-EIP网关控制器与欧姆龙PLC通过Ethernet/IP协议实现通讯的配置方法。主要内容包括硬件准备(CK-GW08S-EIP网关、欧姆龙PLC、CK-FR03-A01读写器)、软件配置(使用SysmacStudio设置IP、添加变量和EDS文件)、设备映射及功能块说明(包括UID读取、用户数据读写操作等)。该配置方案支持8路独立读写控制,适用于485接口的工业RFID读写器集成应用。
打破传统课程模式,IP变现的创新玩法 | 创客匠人
ckjrxx的博客
08-21 253
过去谈知识付费,很多人第一反应就是“录制一门课程然后卖”。但随着市场竞争加剧,这种模式已经难以满足用户的新需求。如今,IP知识变现进入了一个创新阶段:工具升级、形式多样、互动更强。对内容创作者来说,这是一个既充满挑战又充满机会的时代。
服务器无公网ip如何对外提供服务?本地网络只有内网IP,如何能被外网访问
csghdn的博客
08-19 889
没有公网的情况下,仍然可以组建一个服务器,只是它默认无法直接通过公网进行访问,但可以通过一些方法实现对外提供服务。
acme 配置cloudflare
12-14
acme 配置cloudflare主要是指使用acme.sh脚本在cloudflare上自动获取和更新SSL证书。以下是具体的配置步骤: 1. **安装acme.sh**: 首先,确保你的服务器上已经安装了acme.sh。可以通过以下命令进行安装: ```bash curl https://get.acme.sh | sh ``` 2. **获取Cloudflare API令牌**: 登录到你的Cloudflare账户,导航到“我的个人资料” -> “API令牌” -> “创建令牌”。创建一个具有“编辑区域DNS”权限的令牌。 3. **配置acme.sh使用Cloudflare API令牌**: 使用以下命令将Cloudflare API令牌配置到acme.sh中: ```bash export CF_Token="your_cloudflare_api_token" export CF_Account_ID="your_cloudflare_account_id" acme.sh --set-default-ca --server letsencrypt acme.sh --issue --dns dns_cf -d example.com -d www.example.com ``` 4. **安装证书**: 安装证书到指定目录,例如: ```bash acme.sh --install-cert -d example.com \ --key-file /path/to/private.key \ --fullchain-file /path/to/fullchain.cer \ --reloadcmd "service nginx force-reload" ``` 5. **自动更新证书**: acme.sh会定期自动更新证书,确保你的系统时间准确,并且acme.sh脚本在crontab中配置正确。 通过以上步骤,你就可以在Cloudflare上配置acme.sh来自动获取和更新SSL证书了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

马立杰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值