cdn怎么禁止指定IP访问网站

一、如何禁止访问，先了解下常见的3种网站访问模式：

①、用户直接访问对外服务的普通网站

浏览器 -->DNS解析 -->WEB数据处理 -->数据吐到浏览器渲染展示

②、用户访问使用了CDN的网站

浏览器 -->DNS解析 -->CDN节点 -->WEB数据处理 -->数据吐到浏览器渲染展示

③、用户通过代理上网访问了我们的网站

浏览器 -->代理上网 -->DNS解析 -->上述2种模式均可能

二、对于第一种模式，要禁止这个用户的访问很简单，可以直接通过 iptables 或者 Nginx的deny指令来禁止均可：

iptabels：

iptables -I INPUT -s 用户ip -j DROP

Nginx的deny指令：

语    法:     deny address | CIDR | unix: | all

默认值:     —

配置段:     http, server, location, limit_except

顺   序：从上往下

Demo：

location / {

deny 用户IP或IP段

}

但对于后面2种模式就无能为力了，因为iptables 和 deny 都只能针对直连IP，而后面2种模式中，WEB服务器直连IP是CDN节点或者代理服务器，此时使用 iptable 或 deny 就只能把 CDN节点 或代理IP给封了，可能误杀一大片正常用户了，而真正的罪魁祸首轻轻松松换一个代理IP又能继续请求了。

三、拿到用户真实IP，只要在Nginx的http模块内加入如下配置：

那么，$clientRealIP 就是用户真实IP了，其实就是匹配了 $http_x_forwarded_for 的第一个值。

【1】其实，当一个 CDN 或者透明代理服务器把用户的请求转到后面服务器的时候，这个 CDN 服务器会在 Http 的头中加入一个记录X-Forwarded-For :  用户IP, 代理服务器IP如果中间经历了不止一个代理服务器，这个记录会是这样X-Forwarded-For :  用户IP, 代理服务器1-IP, 代理服务器2-IP, 代理服务器3-IP, ….可以看到经过好多层代理之后， 用户的真实IP 在第一个位置， 后面会跟一串中间代理服务器的IP地址，从这里取到用户真实的IP地址，针对这个 IP 地址做限制就可以了。

【2】而且代码中还配合使用了 $remote_addr，因此$clientRealIP 还能兼容上文中第①种直接访问模式，不像 $http_x_forwarded_for 在直接访问模式中将会是空值！所以，$clientRealIP 还能配置到 Nginx 日志格式中，替代传统的 $remote_addr 使用。

主要原因有以下几点：

1.域名没备案

使用国内服务器的前提是需要备案，有些开发者可能会觉得备案太麻烦之类的原因不备案就解析到服务器上使用，被检测到的话服务商会让你把未备案域名解析走，不然会封IP，得不偿失。域名备案还会涉及到运营内容要与备案主体要相符合，不然容易掉备案。

2.违反法律法规

国内的服务商基本都是在符合国家法律法规的基础上加一些更细致的规定。如果用户使用服务器做了一些违法违规的业务，被机房检测到或者被举报核实后，机房以及运营商会采取封IP的措施。为了有更好的绿色网络环境，用户必须严格遵守法律法规。

3.受到攻击，服务器IP暂封

因为流量攻击而被封IP是最常见的情况，对于这种原因，普通的低防服务器毫无招架之力，一旦受到攻击就会被封。

如果长期都有受到流量攻击，建议还是租用高防服务器，它所在的机房能提供较高的硬防设备，能防住常见的DDOS、UDP、SYN等流量攻击，可以为客户提供安全维护，能够拒绝服务攻击。

不方便更换服务器的话可以考虑使用云防产品，游戏类可以使用无视攻击的游戏盾，网站类可以使用高防CDN，都有涉及到可以考虑使用高防IP。这类云防产品的原理就是隐藏真实IP，对外显示的是高防节点IP，让攻击者找不到真实IP，攻击也是到高防节点上。不需要转移数据，也不需要重新搭建，只要做好设置马上就能使用，方便快捷！

---