Nginx服务器中配置GeoIP模块来拦截指定国家IP

最近有一个网站项目需求：需要屏蔽国内的方问请求。花时间研究了一下这方面的资料。目前找到的最佳方法就是使用 Nginx 的 GeoIP 模块来实现地区的识别。然后配置相关国家的 ISO 名称，禁止访问即可。记录一下相关过程。

编译 GeoIP 组件

maxmind 提供的免费版数据库已经可以满足需求，在使用数据库前，需要先编译 GeoIP 组件：

wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP-1.4.8.tar.gz
./configure
make
make install

下载 IP 库

从 maxmind 下载 IP 数据包并解压。 这个是国家的ip数据包：

wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
gunzip GeoIP.dat.gz

这个是城市的ip数据包：

wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
gunzip GeoLiteCity.dat.gz

执行完上面的命令后，会得到 GeoIP.dat 和 GeoLiteCity.dat 文件。将这两个文件复制到 Nginx 的 conf 目录。

编译 Nginx

nginx默认不编译这个模块，需要开启--with-http_geoip_module编译选项。

模块依赖MaxMind GeoIP库。

配置 Nginx

接下来就需要配置 Nginx，首先需要在 Nginx 配置文件中的 http 区块中加载 GeoIP 的数据包：

geoip_country GeoIP.dat;
geoip_city GeoLiteCity.dat;

禁止国家访问

只需要在网站的 Nginx 配置中加入下面的示例的代码：

if ($geoip_country_code = CN) {
  deny all;
}

上面的配置表示只要是国内的 IP，就拒绝访问。

GeoIP 组件配置项参考

GeoIP 中跟国家相关的变量：

$geoip_country_code #两位字符的英文国家码。如：CN, US
$geoip_country_code3 #三位字符的英文国家码。如：CHN, USA
$geoip_country_name #国家英文全称。如：China, United States

GeoIP 中跟国家下级区域相关的变量：

$geoip_city_country_code #也是两位字符的英文国家码。
$geoip_city_country_code3 #上同
$geoip_city_country_name #上同.
$geoip_region #这个经测试是两位数的数字，如杭州是02, 上海是 23。但是没有搜到相关资料，希望知道的朋友留言告之。
$geoip_city #城市的英文名称。如：Hangzhou
$geoip_postal_code #城市的邮政编码。经测试，国内这字段为空
$geoip_city_continent_code #不知什么用途，国内好像都是AS
$geoip_latitude #纬度
$geoip_longitude #经度

在 php 中测试 GeoIP

首先需要在 fastcgi_params 或 fastcgi.conf 中引入 GeoIP 的属性:

fastcgi_param GEOIP_COUNTRY_CODE $geoip_country_code;
fastcgi_param GEOIP_COUNTRY_CODE3 $geoip_country_code3;
fastcgi_param GEOIP_COUNTRY_NAME $geoip_country_name;
fastcgi_param GEOIP_CITY_COUNTRY_CODE $geoip_city_country_code;
fastcgi_param GEOIP_CITY_COUNTRY_CODE3 $geoip_city_country_code3;
fastcgi_param GEOIP_CITY_COUNTRY_NAME $geoip_city_country_name;
fastcgi_param GEOIP_REGION $geoip_region;
fastcgi_param GEOIP_CITY $geoip_city;
fastcgi_param GEOIP_POSTAL_CODE $geoip_postal_code;
fastcgi_param GEOIP_CITY_CONTINENT_CODE $geoip_city_continent_code;
fastcgi_param GEOIP_LATITUDE $geoip_latitude;
fastcgi_param GEOIP_LONGITUDE $geoip_longitude;

然后在 web 目录中增加一个 php 文件，代码如下：

<?php
$geoip_country_code = getenv(GEOIP_COUNTRY_CODE);
$geoip_country_code3 = getenv(GEOIP_COUNTRY_CODE3);
$geoip_country_name = getenv(GEOIP_COUNTRY_NAME);

$geoip_city_country_code = getenv(GEOIP_CITY_COUNTRY_CODE);
$geoip_city_country_code3 = getenv(GEOIP_CITY_COUNTRY_CODE3);
$geoip_city_country_name = getenv(GEOIP_CITY_COUNTRY_NAME);
$geoip_region = getenv(GEOIP_REGION);
$geoip_city = getenv(GEOIP_CITY);
$geoip_postal_code = getenv(GEOIP_POSTAL_CODE);
$geoip_city_continent_code = getenv(GEOIP_CITY_CONTINENT_CODE);
$geoip_latitude = getenv(GEOIP_LATITUDE);
$geoip_longitude = getenv(GEOIP_LONGITUDE);

echo 'country_code: '.$geoip_country_code.'<br />';
echo 'country_code3: '.$geoip_country_code3.'<br />';
echo 'country_name: '.$geoip_country_name.'<br />';

echo 'city_country_code: '.$geoip_city_country_code.'<br />';
echo 'city_country_code3: '.$geoip_city_country_code3.'<br />';
echo 'city_country_name: '.$geoip_city_country_name.'<br />';
echo 'region: '.$geoip_region.'<br />';
echo 'city: '.$geoip_city.'<br />';
echo 'postal_code: '.$geoip_postal_code.'<br />';
echo 'city_continent_code: '.$geoip_city_continent_code.'<br />';
echo 'latitude: '.$geoip_latitude.'<br />';
echo 'longitude: '.$geoip_longitude.'<br />';

访问 php 文件，就会显示你当前所在 IP 的相关地理信息。

php 也提供了 GeoIP 模块，需要手动编译。也需要加载 GeoIP 库。效率上应该还是不如 Nginx 的方式。

常用指令总结
1.geoip_country database;
默认值: —
上下文: http
指定数据库，用于根据客户端IP地址得到其所在国家。 使用这个数据库时，配置中可用下列变量：

（1）$geoip_country_code
双字符国家代码，比如 “RU”，“US”。
（2）$geoip_country_code3
三字符国家代码，比如 “RUS”，“USA”。
（3）$geoip_country_name
国家名称，比如 “Russian Federation”，“United States”。

2.geoip_city database;
默认值: —
上下文: http
指定数据库，用于根据客户端IP地址得到其所在的国家、行政区和城市。 使用这个数据库时，配置中可用下列变量：
（1）$geoip_city_country_code
双字符国家代码，比如 “RU”，“US”。
（2）$geoip_city_country_code3
三字符国家代码，比如 “RUS”，“USA”。
（3）$geoip_city_country_name
国家名称，比如 “Russian Federation”，“United States”。
（4）$geoip_region
国家行政区名（行政区、直辖区、州、省、联邦管辖区，诸如此类），比如 “Moscow City”，“DC”。
（5）$geoip_city
城市名称，比如 “Moscow”，“Washington”。
（6）$geoip_postal_code
邮编。

3.geoip_proxy address | CIDR;
默认值: —
上下文: http
这个指令出现在版本 1.3.0 和 1.2.1.
定义可信地址。 如果请求来自可信地址，nginx将使用其“X-Forwarded-For”头来获得地址。

4.geoip_proxy_recursive on | off;
默认值: 
geoip_proxy_recursive off;
上下文: http