GeoIP,是一套含IP数据库的软件工具,记录了全球各个地方使用的是哪些ip地址。
本实验是基于nginx的geoip模块,处理根据ip地址来限制地区的操作。
目录
第一步:先安装一个叫”epel-release”的epel源 软件包
第六步:将geoip文档City和Country包拷贝到conf目录下
操作步骤:
第一步:先安装一个叫”epel-release”的epel源 软件包
yum install epel-release -yEPEL (Extra Packages for Enterprise Linux)是基于Fedora的一个项目,为“红帽系”的操作系统提供额外的软件包,适用于RHEL、CentOS和Scientific Linux。
使用很简单:
这个软件包会自动配置yum的软件仓库。当然你也可以不安装这个包,自己配置软件仓库也是一样的,如果yum中没有的话,就可以通过epel增加额外的软件包。
第二步:安装geoip
yum install geoip -y第三步:跑脚本安装nginx配置
- vim 后加你想要创建的文件名,名字自己设置
- 先导入下面脚本的内容,在直接执行你创建的脚本
- 下面内容放入脚本后,bash执行脚本:
vim onekey_install_shediao_v9.sh#!/bin/bash
#解决软件的依赖关系,需要安装的软件包
yum -y install zlib zlib-devel openssl openssl-devel pcre pcre-devel gcc gcc-c++ autoconf automake make psmisc net-tools lsof vim geoip geoip-devel
#新建用户和组
# 这里可以改成自己的用户名和组,记住如果修改了,一定要确保下面的用户、组和目录全部修改成自己的
id xiongxue || useradd xiongxue -s /sbin/nologin
#下载nginx软件
mkdir /xiongxue99 -p
cd /xiongxue99
wget http://nginx.org/download/nginx-1.21.1.tar.gz
#解压软件
tar xf nginx-1.21.1.tar.gz
#进入解压后的文件夹
cd nginx-1.21.1
#编译前的配置
./configure --prefix=/usr/local/scxiongxue99 --user=xiongxue --group=xiongxue --with-http_ssl_module --with-threads --with-http_v2_module --with-http_stub_status_module --with-stream --with-http_geoip_module
#如果上面的编译前的配置失败,直接退出脚本
if (( $? != 0));then
exit
fi
#编译
make -j 2
#编译安装
make install
#修改PATH变量
echo "PATH=$PATH:/usr/local/scxiongxue99/sbin" >>/root/.bashrc
#执行修改了环境变量的脚本
source /root/.bashrc
#firewalld and selinux
#stop firewall和设置下次开机不启动firewalld
service firewalld stop
systemctl disable firewalld
#临时停止selinux和永久停止selinux
setenforce 0
sed -i '/^SELINUX=/ s/enforcing/disabled/' /etc/selinux/config
#开机启动
chmod +x /etc/rc.d/rc.local
echo "/usr/local/scxiongxue99/sbin/nginx" >>/etc/rc.local
#修改nginx.conf的配置,例如:端口号,worker进程数,线程数,服务域名
sed -i '/worker_processes/ s/1/2/' /usr/local/scxiongxue99/conf/nginx.conf
sed -i '/worker_connections/ s/1024/2048/' /usr/local/scxiongxue99/conf/nginx.conf
sed -i -r '36c \\tlisten 8080;' /usr/local/scxiongxue99/conf/nginx.conf
sed -i -r '37c \\tserver_name www.xiongxue.com;' /usr/local/scxiongxue99/conf/nginx.conf
#killall nginx进程
#killall -9 nginx
#启动nginx
#/usr/local/scxiongxue99/sbin/nginxbash onekey_install_shediao_v9.sh # bash后面是你自己创建的文件名字第四步:查看nginx版本以及开启了哪些功能
/usr/local/scxiongxue99/sbin/nginx -V # 一定要注意自己的位置目录是否正确
第五步:将geoip的软件包库导入
这里是软件包的百度链接地址:
链接:https://pan.baidu.com/s/1lK4oD8Ke0tUMlunWbKoFag
提取码:upll
- 先将软件包下载到自己电脑文件中
- 使用安装lrzsz,用来文件传输的
- 在使用unzip,来解压软件包
[root@nginx-filebeat-01 nginx]# yum install lrzsz -y # 安装lrzsz
上次元数据过期检查:2:55:11 前,执行于 2021年07月28日 星期三 16时28分13秒。
软件包 lrzsz-0.12.20-43.el8.x86_64 已安装。
依赖关系解决。
无需任何处理。
完毕!
[root@nginx-filebeat-01 nginx]# rz # 进入文件传输模式
@nginx-filebeat-01 nginx]# yum install unzip -y # 安装unzip
[root@nginx-filebeat-01 nginx]# unzip geoip.zip # 解压geoip
可以看到这里已经将geoip成功解压,看到City和Country包了!
第六步:将geoip文档City和Country包拷贝到conf目录下
cp GeoIP.dat GeoLiteCountry.dat /usr/local/scxiongxue99/conf/
cp GeoLiteCity.dat /usr/local/scxiongxue99/conf/
[root@nginx-filebeat-01 nginx]# cp GeoIP.dat GeoLiteCountry.dat /usr/local/scxiongxue99/conf/
[root@nginx-filebeat-01 nginx]# cp GeoLiteCity.dat /usr/local/scxiongxue99/conf/ 查看conf文件下,是否拷贝过来
第七步:在nginx.conf文件下添加这两行
cd 进入到此目录下vim nginx.conf文件
这两行是在http块下添加的:
geoip_country /usr/local/scxiongxue99/conf/GeoIP.dat;
geoip_city /usr/local/scxiongxue99/conf/GeoLiteCity.dat;
在server块中,加入下面内容:
这两行的意思是:
如果不是长沙的ip地址,就返回页面403错误
如果不是中国的ip地址,就返回页面404错误
if ($geoip_city != 'Changsha' ){
return 403;
}
if ($geoip_country_code != 'CN' ){
return 404;
}
图例:
第八步:测试
先加载一下配置文件,一定要确保文件路径是不是自己的
/usr/local/scxiongxue99/sbin/nginx -s reload测试限制国家的IP地址:
(1)、先新增两个ip地址
[root@nginx-filebeat-01 nginx]# ip add add 8.8.8.8 dev ens33
[root@nginx-filebeat-01 nginx]# ip add add 8.8.8.9 dev ens33
[root@nginx-filebeat-01 nginx]# ip add
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:50:56:3b:b4:f9 brd ff:ff:ff:ff:ff:ff
inet 192.168.8.190/24 brd 192.168.8.255 scope global noprefixroute ens33
valid_lft forever preferred_lft forever
inet 8.8.8.8/32 scope global ens33
valid_lft forever preferred_lft forever
inet 8.8.8.9/32 scope global ens33
valid_lft forever preferred_lft forever
inet 192.168.8.147/24 brd 192.168.8.255 scope global secondary dynamic ens33
valid_lft 1828sec preferred_lft 1828sec
(2)、在nginx.conf文件中,先把限制城市的ip代码注释掉,在重新执行上面的reload那条语句
(3)、加载后,curl 监控网址,返回的是页面404,说明限制国家的ip成功!
(4)、在对城市ip进行限制,随机写入一个别的地区的ip地址,确保是正确的ip
ip add add 添加ip 这只是临时增加的ip而已
[root@nginx-filebeat-01 nginx]# ip add add 120.227.122.104 dev ens33
[root@nginx-filebeat-01 nginx]# ip add
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:50:56:3b:b4:f9 brd ff:ff:ff:ff:ff:ff
inet 192.168.8.190/24 brd 192.168.8.255 scope global noprefixroute ens33
valid_lft forever preferred_lft forever
inet 8.8.8.8/32 scope global ens33 # 国家ip
valid_lft forever preferred_lft forever
inet 8.8.8.9/32 scope global ens33 # 国家ip
valid_lft forever preferred_lft forever
inet 120.227.122.104/32 scope global ens33 # 城市ip
valid_lft forever preferred_lft forever
inet 192.168.8.147/24 brd 192.168.8.255 scope global secondary dynamic ens33
valid_lft 1524sec preferred_lft 1524sec
添加ip后,在进行上面(2)、(3)点的操作,返回403表示成功限制城市ip!
