一、访问控制
限制只让某个ip访问:
allow 192.168.1.100;
deny all;
限制只有本地地址可以访问,白名单;
allow 127.0.0.1;
拒绝本地访问,黑名单:
deny 127.0.0.1;
allow all;
deny all 直接拒绝所有,下面的allow就不生效了。
1
2
3
4
5
6
7
8
9
10
<code>[root@localhost vhosts]</code><code># vi default.conf</code>
<code>server</code>
<code>{</code>
<code> </code><code>listen 80 default_server;</code>
<code> </code><code>server_name localhost;</code>
<code> </code><code>index index.html index.htm index.php;</code>
<code> </code><code>root </code><code>/usr/local/nginx/html</code><code>;</code>
<code> </code><code>deny all;</code>
<code> </code><code>allow 2.2.2.2;</code>
<code>}</code>
<code>[root@localhost vhosts]</code><code># curl -x127.0.0.1:80 192.168.20.30/index.html -I</code>
<code>HTTP</code><code>/1</code><code>.1 403 Forbidden</code>
<code>Server: nginx</code><code>/1</code><code>.6.2</code>
<code>Date: Fri, 15 May 2015 08:46:05 GMT</code>
<code>Content-Type: text</code><code>/html</code>
<code>Content-Length: 168</code>
<code>Connection: keep-alive</code>
禁止某个IP或者IP段访问站点的设置方法:
1、首先建立下面的配置文件放在nginx的conf目录下面,命名为deny.ip
<code># cat /usr/local/nginx/conf/deny.ip</code>
<code>deny 192.168.20.10;</code>
<code>deny 192.168.20.11;</code>
<code>deny 192.168.10.0</code><code>/24</code><code>;</code>
2、在nginx的配置文件nginx.conf中加入:include deny.ip;
3、重启一下nginx的服务:/usr/local/nginx/sbin/nginx -s reload 就可以生效了。
deny.ip 的格式中也可以用deny all; 如果你想实现这样的应用,除了几个IP外,其他全部拒绝,
allow 1.1.1.1;
allow 1.1.1.2;
deny all;
针对目录限制php解析:
location ~ .*(diy|template|attachments|forumdata|attachment|image/.*\.php$ {
deny all;
}
根据 user_agent 控制客户端访问
location / {
if ($http_user_agent ~ 'bingbot/2.0|MJ12bot/v1.4.2|Spider/3.0|YoudaoBot|Tomato|Gecko/20100315'){
return 403;
}
}
实验:限定IE7.0 和 curl 不能访问;IE8.0可以正常打开;
location / {
if ($http_user_agent ~ 'MSIE 7.0|curl'){
curl -A 代表浏览器标识agent;模拟浏览器标识;测试包含bingbot/2.0,MSIE 7.0,curl的返回值为403;
<code>[root@localhost vhosts]</code><code># curl -x127.0.0.1:80 -A "aabingbot/2.0ss" www.111.com -I</code>
<code>Date: Fri, 15 May 2015 21:09:35 GMT</code>
<code>[root@localhost vhosts]</code><code># curl -x127.0.0.1:80 -A "MSIE 7.0aa" www.111.com -I</code>
<code>Date: Fri, 15 May 2015 21:13:50 GMT</code>
<code>Content-Length: 570</code>
<code>Date: Fri, 15 May 2015 09:15:27 GMT</code>
二、nginx的rewrite应用
现在有这样的的需求,访问 www.abc.com 请求到 www.abc.com/abc/
在nginx虚拟主机配置文件中加入 :
if ($document_uri !~ 'abc')
{
rewrite ^/(.*)$ http://www.abc.com/abc/$1 permanent;
}
而不是单独加一句rewrite ^/(.*)$ http://www.abc.com/abc/$1 permanent;
如果只加rewrite 规则,而不限定条件,那么会造成死循环。
实验测试,只加一行rewrite规则,redirect 302 临时重定向;
11
12
13
14
15
16
17
<code>[root@localhost vhosts]</code><code># cat 111.conf </code>
<code> </code><code>listen 80;</code>
<code> </code><code>server_name www.aaa.com aaa.com;</code>
<code> </code><code>root </code><code>/data/www2</code><code>;</code>
<code> </code>
<code> </code><code>rewrite ^/(.*)$ </code><code>/aaa/</code><code>$1 redirect;</code>
<code> </code>
<code> </code><code>location ~ \.php$ {</code>
<code> </code><code>include fastcgi_params;</code>
<code> </code><code>fastcgi_pass unix:</code><code>/tmp/php-fcgi-www2</code><code>.sock;</code>
<code> </code><code>fastcgi_index index.php;</code>
<code> </code><code>fastcgi_param SCRIPT_FILENAME </code><code>/data/www2</code><code>$fastcgi_script_name;</code>
<code> </code><code>}</code>
<code>[root@localhost vhosts]</code><code># curl -x127.0.0.1:80 www.aaa.com/asdfasdfa -I</code>
<code>HTTP</code><code>/1</code><code>.1 302 Moved Temporarily</code>
<code>Date: Fri, 15 May 2015 09:54:10 GMT</code>
<code>Content-Length: 160</code>
<code>Location: </code>
<code>http:</code><code>//www</code><code>.aaa.com</code><code>/aaa/asdfasdfa</code>
加入if判断,域名不匹配aaa的时候跳转到aaa地址下;浏览器访问跳转正确,出现404错误是我们做实验没有这个目录;
if ($document_uri !~ 'aaa')
{
rewrite ^/(.*)$ /aaa/$1 redirect;
}
<a href="http://s3.51cto.com/wyfs02/M01/6D/10/wKiom1VbCLHyjTsoAACXJYBk58c903.jpg" target="_blank"></a>
三、nginx代理配置
/conf/vhosts/目录下,新建一个proxy.conf 写入下面的内容:
<code>[root@localhost vhosts]</code><code># cat proxy.conf</code>
<code>server {</code>
<code> </code><code>listen 80;</code>
<code> </code><code>server_name </code>
<code> </code><code>location / {</code>
<code> </code><code>proxy_pass http:</code><code>//180</code><code>.97.33.108/;</code>
<code> </code><code>proxy_set_header Host $host;</code>
<code> </code><code>proxy_set_header X-Real-IP $remote_addr;</code>
<code> </code><code>proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;</code>
<code> </code><code>}</code>
<code> </code><code>}</code>
代理baidu.com,proxy_pass填写baidu的ip地址;
dig命令查看baidu的别名和对应的ip地址;
;; ANSWER SECTION:
如果代理的机器有多台,可以实现负载均衡。bbb为自定义的内容;
<code>upstream bbb</code>
<code> </code><code>server 180.97.33.108:80;</code>
<code> </code><code>server 180.97.33.107:80;</code>
<code> </code><code>listen 80;</code>
<code> </code><code>server_name </code>
<code> </code><code>location / {</code>
<code> </code><code>proxy_pass http:</code><code>//bbb/</code><code>;</code>
<b></b>
<b>本文转自 模范生 51CTO博客,原文链接:http://blog.51cto.com/mofansheng/1652905,如需转载请自行联系原作者</b>
![修改or隐藏nginx版本号[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)