回源配置 - 日勿の部落格

场景需求#

CDN 或者全站加速等场景，可以设置 HTTP 回源，然后配合 IP 地址列表，实现仅允许对应 IP 访问源站，阻断非法访问。

EdgeOne#

[!info] 免费版不支持控制台操作，所以这里借助脚本 + API

nginx 配置如下：

1
server {
2
    # default_server 表示如果有其他域名指向这个IP，也都由这个配置处理
3
    # 只要IP白名单通过，这里就无脑响应
4
    listen 80 default_server;
5

6
    # _ 是一个常见的习惯用法，代表“匹配所有域名”或“不关心域名”
7
    server_name _;
8

9
    root /var/www/files;
10

11
    # 引入之前的 IP 白名单脚本生成的配置文件
12
    include /etc/nginx/edgeone_ips.conf;
13

14
    location / {
15
        autoindex on;
16
    }
17
}

编写更新脚本 /usr/local/bin/update_edgeone_ips.sh：

1
#!/bin/bash
2

3
# 定义文件路径
4
API_URL="https://api.edgeone.ai/ips"
5
CONF_FILE="/etc/nginx/edgeone_ips.conf"
6
TEMP_FILE="/tmp/edgeone_ips.tmp"
7

8
echo "1. 开始下载 IP 列表..."
9
# --http1.1: 强制使用旧协议，防止卡死
10
# -s: 静默模式 (不显示进度条)
11
# -S: 如果报错则显示错误信息
12
curl -sS --http1.1 "$API_URL" > "$TEMP_FILE"
13

14
# 检查是否下载到了内容（文件是否存在且大小大于 0）
15
if [ ! -s "$TEMP_FILE" ]; then
16
    echo "❌ 下载失败：文件为空。"
17
    exit 1
18
fi
19

20
echo "2. 格式化并生成 Nginx 配置..."
21
# 使用 awk 提取非空行的第一列，拼接成 allow 语句
22
awk 'NF {print "allow " $1 ";"}' "$TEMP_FILE" > "$CONF_FILE"
23

24
# 追加 deny all
25
echo "" >> "$CONF_FILE"
26
echo "deny all;" >> "$CONF_FILE"
27

28
echo "3. 重载 Nginx..."
29
# 检查配置无误后重载
30
nginx -t && systemctl reload nginx
31

32
echo "✅ 完成！"
33
# 清理临时文件
34
rm -f "$TEMP_FILE"

赋予执行权限后，设置定时任务：

1
0 3 */3 * * /usr/local/bin/update_edgeone_ips.sh