Nginx GeoIP 模块配置指南：精准到城市级别的访问控制

想让你的 Nginx 服务器能“认出”访客来自哪个城市，然后根据这个信息做一些有趣的事情吗？比如，针对不同地区的访客展示不同的内容，或者干脆屏蔽掉某些地区的访问？这可以通过 Nginx 的 GeoIP 模块来实现。下面就来详细说说怎么配置它，让你的 Nginx 能精确到城市级别地进行访问控制。

1. 准备工作：选择合适的 GeoIP 模块和数据库

Nginx 本身不自带 GeoIP 功能，需要借助第三方模块。常用的有两个：

• ngx_http_geoip_module (官方模块): 这个模块是 Nginx 官方提供的，但功能相对简单，只能到国家级别。
• nginx-geoip2: 这是一个第三方模块，支持更精确的 GeoIP2 数据库，可以精确到城市级别。推荐使用这个，因为它更符合你的需求。

选定了模块，还需要对应的 GeoIP 数据库。MaxMind 提供免费和付费的 GeoIP2 数据库。免费的数据库精度稍差，但对于一般的应用来说也足够了。付费的数据库则更加精准。

• GeoLite2 City (免费): 提供城市级别的 IP 地址信息。
• GeoIP2 City (付费): 更精准的城市级别 IP 地址信息。

你可以从 MaxMind 官网下载这些数据库：https://www.maxmind.com/en/geoip2-developer-account 注意：你需要注册一个 MaxMind 账号才能下载免费的 GeoLite2 数据库。

2. 安装 nginx-geoip2 模块

如果你的 Nginx 是通过包管理器安装的（比如 apt、yum），那么可能需要重新编译 Nginx，加上 --with-http_geoip_module 和 --add-module=../nginx-geoip2 选项。具体步骤如下（以 Ubuntu 为例）：

# 1. 下载 Nginx 源码
wget http://nginx.org/download/nginx-1.25.3.tar.gz # 版本号根据实际情况修改
tar -zxvf nginx-1.25.3.tar.gz
cd nginx-1.25.3

# 2. 下载 nginx-geoip2 模块
git clone https://github.com/leev/nginx-geoip2.git

# 3. 配置编译选项
./configure --with-http_ssl_module --with-http_geoip_module --add-module=../nginx-geoip2

# 4. 编译和安装
make
sudo make install

注意：

• 如果已经安装了 Nginx，需要先停止 Nginx 服务。
• 编译安装前，请确保已经安装了必要的编译工具和依赖库，例如 gcc、make、pcre、zlib 等。
• --with-http_ssl_module 是一个可选的选项，如果需要支持 HTTPS，可以加上。
• 编译安装完成后，Nginx 的配置文件路径可能会有所不同，通常在 /usr/local/nginx/conf 或 /etc/nginx 目录下。

3. 配置 Nginx

安装好 nginx-geoip2 模块后，就可以开始配置 Nginx 了。打开 Nginx 的配置文件（通常是 nginx.conf），在 http 块中添加以下配置：

http {
    # 加载 GeoIP2 数据库
    geoip2 /path/to/GeoLite2-City.mmdb {
        $geoip2_city_code city code;
        $geoip2_country_code country code;
        $geoip2_city_name city names en;
        $geoip2_latitude latitude;
        $geoip2_longitude longitude;
    }

    server {
        listen 80;
        server_name yourdomain.com;

        location / {
            # 允许特定城市的访问
            if ($geoip2_city_name != "Beijing") {
                return 403;
            }

            # 其他配置...
            return 200 "Hello from Beijing!";
        }
    }
}

配置说明：

• /path/to/GeoLite2-City.mmdb：替换成你实际的 GeoLite2-City.mmdb 数据库文件的路径。
• geoip2 指令：用于加载 GeoIP2 数据库，并将数据库中的信息映射到 Nginx 变量。
  • $geoip2_city_code：城市代码。
  • $geoip2_country_code：国家代码。
  • $geoip2_city_name：城市名称（英文）。
  • $geoip2_latitude：纬度。
  • $geoip2_longitude：经度。
• if ($geoip2_city_name != "Beijing")：这是一个简单的访问控制示例，只允许来自北京的访问。你可以根据实际需求修改这个条件。
• return 403：拒绝访问，返回 403 错误。
• return 200 "Hello from Beijing!"：允许访问，返回 200 状态码和一段文本。

4. 重启 Nginx

配置完成后，需要重启 Nginx 服务，使配置生效：

sudo nginx -t # 检查配置文件是否正确
sudo nginx -s reload # 重启 Nginx

5. 验证配置

可以使用 curl 命令来模拟不同地区的访问，验证配置是否生效。例如：

curl -H "Host: yourdomain.com" 123.123.123.123 # 替换成一个北京的 IP 地址
curl -H "Host: yourdomain.com" 456.456.456.456 # 替换成一个非北京的 IP 地址

如果配置正确，来自北京的 IP 地址应该能正常访问，而非北京的 IP 地址则会返回 403 错误。

6. 更复杂的访问控制

上面的例子只是一个简单的访问控制，你可以根据实际需求，使用更复杂的条件来实现更精细的访问控制。

• 基于国家/地区代码的访问控制：

  if ($geoip2_country_code = "CN") { # 只允许中国大陆的访问
      # ...
  }
  

• 基于多个城市的访问控制：

  if ($geoip2_city_name ~* "(Beijing|Shanghai|Guangzhou)") { # 允许北京、上海、广州的访问
      # ...
  }
  

• 结合 allow 和 deny 指令：

  location / {
      allow 123.123.123.0/24; # 允许来自 123.123.123.0/24 网段的访问
      deny all; # 拒绝所有其他访问
      # ...
  }
  

7. 注意事项

• GeoIP 数据库的更新： GeoIP 数据库会定期更新，建议定期下载最新的数据库，以保证访问控制的准确性。可以写一个脚本，定期自动下载并更新数据库。
• IP 地址的准确性： GeoIP 数据库的准确性受到多种因素的影响，例如 IP 地址分配的变化、用户使用代理服务器等。因此，不能完全依赖 GeoIP 数据库来实现绝对精确的访问控制。
• 性能影响： 使用 GeoIP 模块会对 Nginx 的性能产生一定的影响，尤其是在高并发的情况下。建议对 Nginx 进行性能测试和优化。
• 隐私问题： 在使用 GeoIP 模块时，需要注意用户隐私问题。应该明确告知用户，服务器会收集他们的 IP 地址信息，并用于访问控制等目的。

总结

通过 Nginx 的 GeoIP 模块，我们可以方便地实现基于地理位置的访问控制。虽然不能保证绝对的精确性，但对于大多数应用来说，已经足够了。希望这篇指南能帮助你更好地理解和使用 Nginx 的 GeoIP 模块。