本文共 1212 字，大约阅读时间需要 4 分钟。

NGINX 笔记 - GeoIP 限制策略配置

通过 NGINX 的 GeoIP 模块和 map 模块，可以实现基于 IP 地址区域的访问限制。以下是详细的配置方法和示例：

1. 基于国家区域的访问控制

map $http_host#$geoip_country_code $site_country {
    hostnames;
    default 0;
    www.kangzy.com# 1;
    *.kangzy.com# 0;
    *.kangzy.com#CN 1;
}

这个配置块实现了对访问域名的限制，具体解析如下：

• 当请求域名未与任何国家匹配时，默认拒绝访问（设置为 0）。
• 对 www.kangzy.com 域名设置为允许访问（1）。
• 对 *.kangzy.com 域名未指定特定国家时，拒绝访问（0）。
• 对 *.kangzy.com#CN（指代中国的 IP 范围）允许访问（1）。

2. 基于城市区域的访问控制

map $http_host#$geoip_city $site_city {
    hostnames;
    default 0;
    www.kangzy.com# 0;
    *.kangzy.com# 0;
    *.kangzy.com#changsha 1;
}

这个配置块实现了对访问城市的限制，具体解析如下：

• 当请求域名未与任何城市匹配时，默认拒绝访问（设置为 0）。
• 对 www.kangzy.com 域名设置为拒绝访问（0）。
• 对 *.kangzy.com 域名未指定特定城市时，拒绝访问（0）。
• 对 *.kangzy.com#changsha（指代长沙市的 IP 范围）允许访问（1）。

3. 配置命令示例

conferences Dimension MapHashes map_hash_bucket_size 128; map_hash_max_size 45948;

这些命令用于优化 map 模块的性能，确保 GeoIP 查找效率。需要根据实际负载适配参数值。

4. 测试与结果解读

通过以下命令验证配置是否正确：

curl -v http://www.kangzy.com/ --resolve www.kangzy.com:80:A.B.C.E

测试结果示例：

Server: www.kangzy.com
Country: CN
City: Changsha
Region: 11
Allow: 1 1

输出字段包括 $http_host $server_name $geoip_country_code $geoip_city $site_country $site_city 等信息，验证 GeoIP 配置的正确性。

5. 参考资料

• 使用 GeoIP 模块的官方文档
• NGINX 官方配置示例
• 相关技术博客与案例分析