Authentication Nginx白名单IP，否则使用证书

我正在为我的大学设置一个服务器，该服务器只能从他们的网络内部访问。 这一点我可以用nginx轻松做到。不幸的是，有些人无法访问此网络/IP范围。我可以使用，但我更喜欢使用证书

是否有方法首先检查访问是否在允许的IP范围内，如果不要求证书

我试过这样的方法：

server {
        root /var/www/html;
        
        index index.html index.htm index.nginx-debian.html;

        listen [::]:443 ssl ipv6only=on; # managed by Certbot
        listen 443 ssl; # managed by Certbot
        ssl_certificate /etc/letsencrypt/live/test.de/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/test.de/privkey.pem; # managed by Certbot
        include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
        ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

        # server_name _;
        server_name test.de;
        
        
        ssl_client_certificate /etc/nginx/client_certs/ca.crt;
        ssl_verify_client optional;
        error_log /var/log/nginx/errors.log debug;

        location / {
            satisfy any;
            allow 123.0.0.0/16;
            allow 456.0.0.0/16;
            deny all;
            
            if ($ssl_client_verify != SUCCESS) {
                return 403;
            }
            try_files $uri $uri/ =403;
        }
}
server {
    if ($host = test.de) {
        return 301 https://$host$request_uri;
    } # managed by Certbot

    listen 80 ;
    listen [::]:80 ;
    server_name test.de;
    return 404; # managed by Certbot
}

这是行不通的。 我可以在检查

ssl\u客户机\u验证

之前检查IP

if ($remote_addr = 1.2.3.4 ) 
       {
        proxy_pass http://10.10.10.1; 
        break; 
       }

 if ($ssl_client_verify != "SUCCESS") 
       { return 403; }

但这并不适用于每个ip地址

我怎样才能有效地处理这件事

先谢谢你

---

~Fabian

您可以使用

geo

块而不是

allow

/

deny

语句，并使用

$ssl\u client\u verify

作为默认值

例如：

geo $verify {
  123.0.0.0/16 "SUCCESS";
  456.0.0.0/16 "SUCCESS";
  default      $ssl_client_verify;
}

server {
    if ($verify != "SUCCESS") { return 403; }

    ...
}

有关详细信息，请参阅