如何限制只允许内网访问

使用 status.example.com 解析到 123.123.666.666 (公网 ip) 后添加如下配置

nginx conf

server {
    listen 80;
    server_name status.example.com;
    charset utf-8;
	 


    location / {
        proxy_pass http://192.168.1.167:3001;
		proxy_set_header   X-Real-IP $remote_addr;
		proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header   Host $host;
		proxy_set_header   X-Forwarded-Host $host;
		proxy_http_version 1.1;
		proxy_set_header   Upgrade $http_upgrade;
		proxy_set_header   Connection "upgrade";
    } 
	
 
    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
        root /usr/share/nginx/html;
    }
}

现在想要 限制只允许同内网的机器访问 ，尝试过添加

 # 优先允许内网中的特定 IP 地址
 allow 192.168.0.199; # 或者你想要允许的内网 IP 地址
 # 接着允许特定网段的 IP 范围访问
 allow 192.168.0.0/23;
 # 最后拒绝所有其他 IP 地址
 deny all;

但是测试发现要么都是允许要么都是 403

网络路径是 status.example.com > 123.123.666.666 > 深信服 > 内网机器(nginx)

cnit

2023-12-11 17:46:35 +08:00

@InDom

192.168.0.1 - [11/Dec/2023:17:43:13 +0800] "GET / HTTP/1.1" status.example.com 200 200 2012 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36" - - 192.168.1.167:3001 0.031 0.031

日志是这样的

@NessajCN

这样的我试过，还说不能 reload 要完全退出在再启动，实际测试依然无效

cnit

2023-12-12 10:17:02 +08:00

各位，问题出在防火墙上，外部流量进来的时候被 192.168.0.1 给代理了，导致在应用侧收到的访问 ip 都是 192.168.0.1
```
location /ip {
default_type text/plain;
return 200 $remote_addr;
}
```

让网关同事联系了深信服，处理方案类似于

https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=10516

https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=10516

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/999454