Как ограничить доступ к сайту для всех стран, кроме одной?

geoip, но это неточно

Список подсетей на гитхабе найдёшь. Хочешь через iptables блокируй, хочешь через nginx.

Вебсервера умеют грепать по mmdb, на основе этого настраиваешь доступ.

Я раньше делал через iptables. Можно чуть оптимизировать и сделать ipset'ы вместо тупого списка.

Выдёргиваешь скриптом из RIPE все подсети нужной страны (скрипт легко гуглится, сейчас под рукой нету), результат вливаешь в любой роутер/фаервол/куда надо. Я так телефонию резал для рунет-only, атак из не-рунета безумное количество.

Не советую- под раздачу могут попасть люди, которые вообще не оттуда.

Nobody cares

Делал на уровне приложения. БД – MaxMind’s GeoLite2. Нужно зарегистрироваться чтобы скачать. Вроде там можно как-то обновлять даже эту БД периодически, но я не заморачивался. Есть расширенный платный аналог. Для стран весит в районе 5-6 МБ.

Это мой личный сервак и я вряд ли буду куда-то за пределы РФ выезжать. Учитывая эти детали, можно было бы вообще до одного города сократить.) Но тут уже да, легко переборщить.

На уровне приложения сложно, надо каждое приложение обновлять.)

Это MMDB. Возможно поиск MMDB + Nginx поможет.

Через модуль nginx’а geoip2. Делается очень легко.

Сделай капчу с крылатыми выражениями и загадками вида: «с луком и яйцами, но не Робин Гуд»

Заинтиговал, пирожок?

Ага, это из старого анекдота, где изначально загадка была про Робина (с луком и яйцами, но не пирожок), но второй человек, рассказывая загадку дальше, все перепутал. В некоторых вариациях это анекдот из серии про Чапаева.

А если тебя так?

Я что-то такое делал. Поднял OpenVPN у себя на серваке и пускаю туда только себя. Поскольку я нахожусь в одной стране, фактически доступ к серверу существует только из неё. Пока у меня ключ и пароль не украдут.

Что «тебя так»? Ты даже не знаешь, что за сайт, на кого ориентирован и какие цели преследует, но уже начал вылезать со своим очень важным морализаторским мнением.

Так уже блочат, например, Microsoft и Qt. Времена нынче такие – все блочат.

Даже в этой ситуации могут пострадать VPNщики, например.

старого анекдота, где изначально загадка была про Робина (с луком и яйцами, но не пирожок), но второй человек, рассказывая загадку дальше, все перепутал.

Мне почему-то поручик Ржевский вспомнился…

Не все.
Да и вообще, логика «Меня заблочил Вася, поэтому я заблочу ни в чём ни повинного Петю, поскольку заблочить Васю у меня руки коротки» очень, очень уныла. Это не про случай ТСа, у него мы действительно не знаем, что за ситуация. Это вообще про логику «все блочат».

Ответ «все блочат» – это несколько гипертрофированное отражение действительности, не более того. Без унылого морализаторства и заламывания рук.

Ну и что же там MS и Qt заблочили? Сайт-то работает, остальное - политика компании.

Вот это должно помочь: https://fornex.com/ru/help/settings-nginx-geoip/

https://www.howtoforge.com/nginx-how-to-block-visitors-by-country-with-the-geoip-module-debian-ubuntu/amp/

Тебе только default нужно сделать no и разрешить только для нужной страны.

Не проверял, да и сайт не nginx.org, но думаю там все верно написано.

Похоже, самый простой способ сделать это – nginx. Осталось только докеризовать. Как получится, опишу свой опыт.

Осталось только докеризовать.

Кстати, а какое в твоём случае преимущество даёт докеризация перед тем, чтобы установить nginx прямо на VDSку?

Да, вопрос личный и отчасти офтопичный, мотивы могут быть разные, не ответишь — не обижусь. Просто как-то все с этим докером носятся, я и думаю, может, что-то упускаю? :)

Да, например ответ «у меня на этом сервере кроме сайта ещё дофига всего» звучал бы разумно.

какое в твоём случае преимущество даёт докеризация перед тем, чтобы установить nginx прямо на VDSку?

Пальцем в небо: если проксируемые приложения у него крутятся в контейнерах, то проще не трахаться с DNS-ом/прибитем статических IP-адресов контейнерам, а положить сам nginx в контейнер

Просто как-то все с этим докером носятся, я и думаю, может, что-то упускаю?

Я тоже до последнего думал что это говно лютое, но ничо, втянулся. Правда нужны две вещи:

1) понимать какую выгоду от докеризации ты получишь(нужный уровень изоляция контейнеров друг от друга, простота развертывания, быстрый деплой новых версий или откат на предыдущие и т.д.);
2) учитывать, что настройка сети в docker(да и в кубере тоже, чо уж там) местами прибита гвоздями и можно делать либо как там задумано авторами, либо через жопу

Ну, во-первых, там нет вольюмов. Всё кладётся в папку внутрь докер-композ проекта. Помимо некстклауда и гита, там ещё крутится бложег который никто не читает, jabber, и ещё куча всяких мелочей. Ну и каждый раз мне это настраивать лень. Можно было бы написать плейбук, но мне больше понравился подход, когда я просто запаковываю всю папку docker-compose проекта и увожу куда-нибудь ещё, потом быстренько распаковываю в другом месте и всё работает как работало. Плюс бекапы так делать удобно. Ту же папочку просто скидываю на флешку раз в неделю.

Казалось бы, а оно мине надо? Но время неспокойное, а сервак арендованный. Так что вот так вот.

С докером все носятся просто потому что в некоторых моментах это удобнее, чем обычно. На самом деле я тоже сторонник развёртывания на хосте, если речь идёт о личном хозяйстве. Но сервак у меня уже несколько лет как сдох, а на новый денег нет. Так что мотаюсь по съёмным.)