title: ip-restriction keywords:
ip-restriction 插件支持通过配置 IP 地址白名单或黑名单来限制 IP 地址对上游资源的访问。限制 IP 对资源的访问有助于防止未经授权的访问并加强 API 安全性。
| 参数名 | 类型 | 必选项 | 默认值 | 有效值 | 描述 |
|---|---|---|---|---|---|
| whitelist | array[string] | 否 | 要列入白名单的 IP 列表。支持 IPv4、IPv6 和 CIDR 表示法。 | ||
| blacklist | array[string] | 否 | 要列入黑名单的 IP 列表。支持 IPv4、IPv6 和 CIDR 表示法。 | ||
| message | string | 否 | “Your IP address is not allowed” | [1, 1024] | 在未允许的 IP 访问的情况下返回的信息。 |
:::note
whitelist 或 blacklist 至少配置一个,但不能同时配置。
:::
以下示例演示了如何针对不同场景配置 ip-restriction 插件。
:::note
您可以这样从 config.yaml 中获取 admin_key 并存入环境变量:
admin_key=$(yq '.deployment.admin.admin_key[0].key' conf/config.yaml | sed 's/"//g')
:::
以下示例演示了如何将有权访问上游资源的 IP 地址列表列入白名单,并自定义拒绝访问的错误消息。
使用 ip-restriction 插件创建路由,将一系列 IP 列入白名单,并自定义拒绝访问时的错误消息:
curl "http://127.0.0.1:9180/apisix/admin/routes" -X PUT \ -H "X-API-KEY: ${admin_key}" \ -d '{ "id": "ip-restriction-route", "uri": "/anything", "plugins": { "ip-restriction": { "whitelist": [ "192.168.0.1/24" ], "message": "Access denied" } }, "upstream": { "type": "roundrobin", "nodes": { "httpbin.org:80": 1 } } }'
向路由发送请求:
curl -i "http://127.0.0.1:9080/anything"
如果您的 IP 被允许,您应该会收到 HTTP/1.1 200 OK 响应。如果不允许,您应该会收到 HTTP/1.1 403 Forbidden 响应,并显示以下错误消息:
{"message":"Access denied"}
以下示例演示了如何使用 real-ip 插件修改用于 IP 限制的 IP。如果 APISIX 位于反向代理之后,并且 APISIX 无法获得真实客户端 IP,则此功能特别有用。
使用 ip-restriction 插件创建路由,将特定 IP 地址列入白名单,并从 URL 参数 realip 获取客户端 IP 地址:
curl "http://127.0.0.1:9180/apisix/admin/routes" -X PUT \ -H "X-API-KEY: ${admin_key}" \ -d '{ "id": "ip-restriction-route", "uri": "/anything", "plugins": { "ip-restriction": { "whitelist": [ "192.168.1.241" ] }, "real-ip": { "source": "arg_realip" } }, "upstream": { "type": "roundrobin", "nodes": { "httpbin.org:80": 1 } } }'
向路由发送请求:
curl -i "http://127.0.0.1:9080/anything?realip=192.168.1.241"
您应该会收到 HTTP/1.1 200 OK 响应。
使用不同的 IP 地址发送另一个请求:
curl -i "http://127.0.0.1:9080/anything?realip=192.168.10.24"
您应该会收到 HTTP/1.1 403 Forbidden 响应。