nginx配置访问控制、rewrite应用、nginx代理

本文涉及的产品
访问控制,不限时长
简介:

一、访问控制

限制只让某个ip访问:

    allow 192.168.1.100;

    deny all;

限制只有本地地址可以访问,白名单;

    allow 127.0.0.1;

    deny all;

拒绝本地访问,黑名单:

    deny 127.0.0.1;

    allow all;


deny all 直接拒绝所有,下面的allow就不生效了。

1
2
3
4
5
6
7
8
9
10
[root@localhost vhosts] # vi default.conf
server
{
     listen 80 default_server;
     server_name localhost;
     index index.html index.htm index.php;
     root  /usr/local/nginx/html ;
     deny all;
     allow 2.2.2.2;
}

1
2
3
4
5
6
7
[root@localhost vhosts] # curl -x127.0.0.1:80  192.168.20.30/index.html -I
HTTP /1 .1 403 Forbidden
Server: nginx /1 .6.2
Date: Fri, 15 May 2015 08:46:05 GMT
Content-Type: text /html
Content-Length: 168
Connection: keep-alive


禁止某个IP或者IP段访问站点的设置方法:

1、首先建立下面的配置文件放在nginx的conf目录下面,命名为deny.ip  

1
2
3
4
# cat /usr/local/nginx/conf/deny.ip
deny 192.168.20.10;
deny 192.168.20.11;
deny 192.168.10.0 /24 ;

2、在nginx的配置文件nginx.conf中加入:include deny.ip;

3、重启一下nginx的服务:/usr/local/nginx/sbin/nginx -s reload 就可以生效了。

deny.ip 的格式中也可以用deny all; 如果你想实现这样的应用,除了几个IP外,其他全部拒绝,

allow 1.1.1.1;

allow 1.1.1.2;

deny all;


针对目录限制php解析:

location ~ .*(diy|template|attachments|forumdata|attachment|image/.*\.php$ {

        deny all;

}


根据 user_agent 控制客户端访问

        location / {

        if ($http_user_agent ~ 'bingbot/2.0|MJ12bot/v1.4.2|Spider/3.0|YoudaoBot|Tomato|Gecko/20100315'){

                return 403;

                }

        }


实验:限定IE7.0 和 curl 不能访问;IE8.0可以正常打开;

    location / {

        if ($http_user_agent ~ 'MSIE 7.0|curl'){

                return 403;

                }

        }

curl -A 代表浏览器标识agent;模拟浏览器标识;测试包含bingbot/2.0,MSIE 7.0,curl的返回值为403;

1
2
3
4
5
6
7
[root@localhost vhosts] # curl -x127.0.0.1:80 -A "aabingbot/2.0ss" www.111.com -I
HTTP /1 .1 403 Forbidden
Server: nginx /1 .6.2
Date: Fri, 15 May 2015 21:09:35 GMT
Content-Type: text /html
Content-Length: 168
Connection: keep-alive
1
2
3
4
5
6
7
[root@localhost vhosts] # curl -x127.0.0.1:80 -A "MSIE 7.0aa"  www.111.com -I
HTTP /1 .1 403 Forbidden
Server: nginx /1 .6.2
Date: Fri, 15 May 2015 21:13:50 GMT
Content-Type: text /html
Content-Length: 570
Connection: keep-alive
1
2
3
4
5
6
7
[root@localhost vhosts] # curl -x127.0.0.1:80  192.168.20.30/index.html -I
HTTP /1 .1 403 Forbidden
Server: nginx /1 .6.2
Date: Fri, 15 May 2015 09:15:27 GMT
Content-Type: text /html
Content-Length: 168
Connection: keep-alive


二、nginx的rewrite应用

现在有这样的的需求,访问 www.abc.com  请求到 www.abc.com/abc/

在nginx虚拟主机配置文件中加入 :

   if ($document_uri !~ 'abc') 

    {

       rewrite ^/(.*)$ http://www.abc.com/abc/$1 permanent;

    }

而不是单独加一句rewrite ^/(.*)$ http://www.abc.com/abc/$1 permanent;

如果只加rewrite 规则,而不限定条件,那么会造成死循环。  

会访问到http://www.abc.com/abc/abc/abc/abc/....


实验测试,只加一行rewrite规则,redirect 302 临时重定向;

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
[root@localhost vhosts] # cat 111.conf 
server
{
     listen 80;
     server_name www.aaa.com aaa.com;
     index index.html index.htm index.php;
     root  /data/www2 ;
  
     rewrite ^/(.*)$  /aaa/ $1 redirect;
    
     location ~ \.php$ {
         include fastcgi_params;
         fastcgi_pass unix: /tmp/php-fcgi-www2 .sock;
         fastcgi_index index.php;
         fastcgi_param SCRIPT_FILENAME  /data/www2 $fastcgi_script_name;
     }
}


使用curl测试跳转到http://www.aaa.com/aaa/asdfasdfa

1
2
3
4
5
6
7
8
9
[root@localhost vhosts] # curl -x127.0.0.1:80  www.aaa.com/asdfasdfa -I
HTTP /1 .1 302 Moved Temporarily
Server: nginx /1 .6.2
Date: Fri, 15 May 2015 09:54:10 GMT
Content-Type: text /html
Content-Length: 160
Location: 
http: //www .aaa.com /aaa/asdfasdfa
Connection: keep-alive

 浏览器输入http://www.aaa.com/asdfasdfa 出现死循环网址;

wKioL1VbCd-yBH_MAABlkBkfKdo220.jpg

spacer.gif

加入if判断,域名不匹配aaa的时候跳转到aaa地址下;浏览器访问跳转正确,出现404错误是我们做实验没有这个目录;
    if ($document_uri !~ 'aaa')

     {

     rewrite ^/(.*)$ /aaa/$1 redirect;

     }
spacer.gifwKiom1VbCLHyjTsoAACXJYBk58c903.jpg

三、nginx代理配置

/conf/vhosts/目录下,新建一个proxy.conf 写入下面的内容:

1
2
3
4
5
6
7
8
9
10
11
[root@localhost vhosts] # cat proxy.conf
server {
             listen 80;
             server_name  
             location / {
                 proxy_pass      http: //180 .97.33.108/;
                 proxy_set_header Host   $host;
                 proxy_set_header X-Real-IP      $remote_addr;
                 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
             }
         }

代理baidu.com,proxy_pass填写baidu的ip地址;

#curl -x192.168.20.30:80  www.baidu.com  使用本地解析baidu.com 就可以访问百度的主页; 


dig命令查看baidu的别名和对应的ip地址;

#dig www.baidu.com

;; ANSWER SECTION:
www.baidu.com. 1065 IN CNAME www.a.shifen.com.
www.a.shifen.com. 183 IN A 180.97.33.108
www.a.shifen.com. 183 IN A 180.97.33.107


如果代理的机器有多台,可以实现负载均衡。bbb为自定义的内容;

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
upstream bbb
{
             server  180.97.33.108:80;
             server  180.97.33.107:80;
}
server {
         listen 80;
         server_name  
         location / {
                 proxy_pass      http: //bbb/ ;
                 proxy_set_header Host   $host;
                 proxy_set_header X-Real-IP      $remote_addr;
                 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
         }
}







本文转自 模范生 51CTO博客,原文链接:http://blog.51cto.com/mofansheng/1652905,如需转载请自行联系原作者

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
目录
相关文章
|
5天前
|
Apache 数据安全/隐私保护
HAProxy的高级配置选项-ACL篇之基于源地址访问控制案例
这篇文章介绍了HAProxy的ACL(访问控制列表)功能,特别是如何基于源地址进行访问控制的高级配置选项,并通过实战案例展示了如何配置ACL规则以允许或阻止特定IP地址或IP范围的访问。
26 7
HAProxy的高级配置选项-ACL篇之基于源地址访问控制案例
|
5天前
|
Apache 数据安全/隐私保护
HAProxy的高级配置选项-ACL篇之基于策略的访问控制
这篇文章介绍了HAProxy的高级配置选项,特别是如何使用ACL(访问控制列表)进行基于策略的访问控制,通过实战案例展示了如何配置HAProxy以允许或拒绝来自特定源地址的访问。
25 6
HAProxy的高级配置选项-ACL篇之基于策略的访问控制
|
5天前
|
NoSQL 关系型数据库 MySQL
HAProxy的高级配置选项-haproxy的四层负载及访问控制案例
这篇文章介绍了HAProxy的高级配置选项,特别是如何进行四层负载均衡和基于策略的访问控制。通过实战案例,展示了如何配置HAProxy以实现对特定IP地址的访问控制,以及如何通过四层负载均衡将流量分配到后端的MySQL和Redis服务。
28 6
|
13天前
|
应用服务中间件 Linux PHP
【Azure 应用服务】App Service For Linux 环境中,如何修改 Nginx 配置中 server_name的默认值 example.com
【Azure 应用服务】App Service For Linux 环境中,如何修改 Nginx 配置中 server_name的默认值 example.com
|
13天前
|
应用服务中间件 Linux nginx
【Azure 应用服务】App Service For Container 配置Nginx,设置/home/site/wwwroot/目录为启动目录,并配置反向代理
【Azure 应用服务】App Service For Container 配置Nginx,设置/home/site/wwwroot/目录为启动目录,并配置反向代理
|
15天前
|
安全 应用服务中间件 网络安全
Nginx要怎么配置才算安全
Nginx要怎么配置才算安全
30 0
|
19天前
|
应用服务中间件 nginx Docker
本地通过域名访问虚拟机上nginx的服务、搭建域名访问环境一(反向代理配置)
这篇文章介绍了如何通过域名在本地访问虚拟机上的nginx服务,包括创建nginx容器、修改配置文件、修改本地host文件以及进行访问测试的详细步骤。文章提供了具体的Docker命令来创建并配置nginx容器,展示了配置文件的修改示例,说明了如何在本地系统的hosts文件中添加虚拟机IP和自定义域名,以及如何通过浏览器进行测试访问。
本地通过域名访问虚拟机上nginx的服务、搭建域名访问环境一(反向代理配置)
|
15天前
|
Ubuntu 应用服务中间件 Linux
在Linux中,如何配置Web服务器(如Apache或Nginx)?
在Linux中,如何配置Web服务器(如Apache或Nginx)?
|
16天前
|
缓存 负载均衡 应用服务中间件
【揭秘】nginx代理配置全攻略:从零到精通,一文带你玩转高效网络代理的秘密武器!
【8月更文挑战第22天】nginx是一款高性能的HTTP与反向代理服务器,支持代理服务、负载均衡及缓存等功能,有助于提升网站响应速度和安全性。首先需确保已安装nginx,可通过包管理器进行安装。安装后启动并确认nginx运行状态。接着编辑配置文件(通常位于`/etc/nginx/nginx.conf`),设置代理转发规则,例如指定目标服务器地址和请求头信息。配置完成后测试有效性并重新加载nginx以应用更改。可以通过部署简易HTTP服务器验证代理功能是否正常工作。此外,还可以通过扩展配置文件实现更复杂的代理需求,如基于路径的代理和SSL加密等。
59 2
|
23天前
|
Web App开发 应用服务中间件 网络安全
如何在 Apache 和 Nginx 上配置 OCSP Stapling
如何在 Apache 和 Nginx 上配置 OCSP Stapling
41 8
下一篇
DDNS