如何在 Nginx 中阻止特定国家的 IP 地址访问

OpenAI宣布自2024年7月9日起正式限制中国用户访问其服务，包括API（应用程序接口）服务。当然也有正规的解决方案，例如通过微软Azure申请OpenAI API服务或者其他大模型代理商，后续我们会专门讨论这个话题。如果有一天，你老板要求快速屏蔽美国地区用户访问，应该怎么做？Nginx就是一个选项。

一、为什么要阻止特定国家的 IP 访问？

在实际应用中，可能会有以下几种情况需要阻止特定国家的 IP 访问：

1. 安全考虑：防止来自某些高风险国家的恶意攻击。
2. 版权保护：限制特定地区的用户访问受版权保护的内容。
3. 合规要求：满足某些法律法规或业务规定。

二、如何在 Nginx 中阻止特定国家的 IP 地址访问？

第1步：安装GeoIP模块

Nginx需要借助GeoIP模块来识别客户端的地理位置信息。如果你使用的是Nginx主分支，可以通过以下命令安装该模块：

sudo apt-get install nginx-module-geoip # 对于基于Debian的系统
sudo yum install nginx-mod-http-geoip # 对于RPM-based系统

第2步：下载GeoIP数据库

GeoIP模块需要数据库文件来映射IP地址到国家。你可以从MaxMind的官方网站(https://dev.maxmind.com/geoip/geoip2/geolite2/)免费下载GeoIP.dat和GeoLiteCity.dat两个文件

下载后，将文件放置到Nginx配置文件指定的路径，如`/etc/nginx/geoip/

第3步：配置Nginx在/etc/nginx/conf.d/下，编写geoip.conf文件如下：

geoip_country /etc/nginx/geoip/GeoIP.dat;
geoip_city /etc/nginx/geoip/GeoLiteCity.dat;1

编辑Nginx的配置文件,通常是/etc/nginx/nginx.conf添加以下配置段：

map $geoip_country_code $allowed_country {
default yes;
US no; # 禁止从美国的访问，这里只是示例，可以根据需要修改国家代码
}

server {
listen 80;
server_name example.com;

if ($allowed_country = no) {
return 403;
}

# 其他配置...
}

在上述配置中，我们使用了geoip_country指令指定了 GeoIP 数据库的路径。然后，通过map指令创建了一个变量$allowed_country，根据国家代码判断是否允许访问。如果$allowed_country的值为no，则返回 403 禁止访问。

第4步：测试并重启Nginx

配置完成后，使用nginx -t命令测试配置是否正确，然后使用systemctl restart nginx或service nginx restart命令重启Nginx使更改生效。