限制某个接口只能通过公司内网访问

配置文件里写：
server_name <nginx 机器的内网 ip>
....
这样如何？这样可以免去配置网段的麻烦 但你还得好好鼓捣一下如何来做到只限制一个应用的某一个接口

这个服务独占某个端口的话可以在防火墙上限制，仅允许某网段访问某端口

网段太多是什么意思，公司内网用了公网 IP ？如果没使用公网 IP，只要判断是否是局域网 IP 就可以了，都是连续的一段，直接比较大小就能判断出来，不需要正则匹配。

如果是 Nginx 的话，可以使用 ngx_http_access_module

allow 192.168.0.0/16;
allow 172.16.0.0/12;
allow 10.0.0.0/8;

如果你们公司网络环境特别复杂的话，当我前面什么都没说。

1. 如果一个字符串为 IP，判断 ip 是否属于某个范围最好的方式不是正则表达式，可以了解下子网掩码，相信你会有收获。
2. ip 限制这个最好还是 iptables+ipset 来做

@MonoLogueChi #3 补充，如果只限制某个或者某些接口，就先用 location 匹配接口的路由，然后再限制

nginx
local /data {

allow 127.0.0.1;
deny all;
}

@catcalse 嗯嗯 目前先用的这种方法

@MonoLogueChi 问了运维只好先这样

@MonoLogueChi 但是这样会不会有一个问题，请求进来的 IP 在内部转发，被处理成本地的

内网--->代理机器-->代理追加特殊 header--->真实服务端--验证是否存在特殊 header 追加--->完毕

不走你的代理机器就访问不了

@aqqwiyth 这个阔以

@cpj 因为我经常这么干. 不过一般会在代理机器 nginx 上加入二次动态验证. 用来追踪请求

@aqqwiyth x-forwarded-for 是用于记录代理过程的，每一次代理的 IP 都会记录，x-real-ip 用于获取真实 ip

@MonoLogueChi header 头可以伪造的

@rubycedar X-Real-IP=$remote_addr
服务端设置成远程 IP，这样就能避免客户端伪造 IP 了

用中间件控制

搞个网关？

@aqqwiyth @rubycedar 说 header 头可以伪造，你说的二次动态验证具体是什么呢

@cpj @MonoLogueChi 我说的是自定义 header 不是你说的代理 IP.
比如我增加一个 x-v2ex-com: xxx 服务端验证这个 x-v2ex-com 就行了.
简单点这个 xxx 是固定的. 复杂点接入 lua 做成动态的 时间戳+密钥 +md5 签名

二次验证: 参考 auth_request 模块


上面所有的前提:
1. 服务端仅对代理机器开放
2. 你的代理机 /服务端的加密 /签名逻辑 别人未知

got it

@aqqwiyth ojbk

@aqqwiyth 但是你这样作要前端配合吧

@MonoLogueChi 不需要前端 /后端配合,, 题主说了是公司内网. 公司内网里面 DNS 与出口都是绝对可控的.

如果有运维参与的话, 开发完全不感知这个过程.

我用一个链路描述一下:
改造前:
前端请求--->nginx---->真实服务端
改造后:
前端请求(无感知)----内网 DNS---->内部 nginx(追加标识)----->服务端 nginx(验证标识,并卸载放行)----->真实服务端(无感知)

@aqqwiyth 这不跟我说的是一回事吗，前端请求 -> nginx 代理(设置 header 头 X-Real-IP=$remote_addr，同时会自动记录 X-Forwarded-For) -> 经历 N 层代理 -> 后端。从得到前端请求的代理服务器到最后和后端对接的代理服务器，中间会一直带着这两个 header 头，X-Real-IP 记录的是前端发出请求的 IP，而每经过一层代理，X-Forwarded-For 都会增加一条记录，记录上一层请求发出的来源