nginx域名访问的白名单配置梳理详解程序员
2023-06-13 09:19:57 时间
在日常运维工作中,会碰到这样的需求:设置网站访问只对某些ip开放,其他ip的客户端都不能访问。可以通过下面四种方法来达到这种效果:
1)针对nginx域名配置所启用的端口(比如80端口)在iptables里做白名单,比如只允许100.110.15.16、100.110.15.17、100.110.15.18访问.但是这样就把nginx的所有80端口的域名访问都做了限制,范围比较大!
##白名单设置,只允许下面三个来源ip的客户端以及本地能访问该站。主要是下面这三行
[[email protected] vhosts]
# cat /var/www/vhosts/testwww.wangshibo.com/main/maintence.html
content=
"width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no"
if
($http_x_forwarded_for !~ ^(100.110.15.16|100.110.15.17|100.110.15.18|127.0.0.1)) {
做网站时经常会用到remote_addr和x_forwarded_for这两个头信息来获取客户端的IP,然而当有反向代理或者CDN的情况下,这两个值就不够准确了,需要调整一些配置。
remote_addr代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的
web服务器(Nginx,Apache等)就会把remote_addr设为你的机器IP,如果你用了某个代理,那么你的浏览器会先访问这个代理,然后再由这个代理转发到网站,这样web
正如上面所述,当你使用了代理时,web服务器就不知道你的真实IP了,为了避免这个情况,代理服务器通常会增加一个叫做x_forwarded_for的头信息,把连接它的客户
通常网站为了支撑更大的访问量,会增加很多web服务器,并在这些服务器前面增加一个反向代理(如HAProxy),它可以把负载均匀的分布到这些机器上。你的浏览器访
问的首先是这台反向代理,它再把你的请求转发到后面的web服务器,这就使得web服务器会把remote_addr设为这台反向代理的IP,为了能让你的程序获取到真实的客户端
当Nginx处在HAProxy后面时,就会把remote_addr设为HAProxy的IP,这个值其实是毫无意义的,你可以通过nginx的realip模块,让它使用x_forwarded_for里的值。使用这
上面的配置就是把从10.1.10这一网段过来的请求全部使用X-Forwarded-For里的头信息作为remote_addr
网站为了安全考虑通常会使用https连接来传输敏感信息,https使用了ssl加密,HAProxy没法直接解析,所以要在HAProxy前面先架台Nginx解密,再转发到HAProxy做负载均
衡。这样在Web服务器前面就存在了两个代理,为了能让它获取到真实的客户端IP,需要做以下配置。
这个配置和之前设定的差不多,只是多了个内网的IP段,表示如果HAProxy收到的请求是由内网传过来的话(https代理机器),就不会设定x_forwarded_for的值,保证后面的
当你的网站使用了CDN后,用户会先访问CDN,如果CDN没有缓存,则回源站(即你的反向代理)取数据。CDN在回源站时,会先添加x_forwarded_for头信息,保存用户的真实IP,
而你的反向代理也会设定这个值,不过它不会覆盖,而是把CDN服务器的IP(即当前remote_addr)添加到x_forwarded_for的后面,这样x_forwarded_for里就会存在两个值。
Nginx会使用这些值里的第一个,即客户的真实IP,而PHP则会使用第二个,即CDN的地址。为了能让PHP也使用第一个值,你需要添加以下fastcgi的配置。
它会把nginx使用的值(即第一个IP)传给PHP,这样PHP拿到的x_forwarded_for里其实就只有一个值了,也就不会用第二个CDN的IP了。
其实,当你使用了Nginx的realip模块后,就已经保证了remote_addr里设定的就是客户端的真实IP,再看下这个配置
它就是把x_forwarded_for设为remote_addr,而nginx里的x_forwarded_for取的就是其中第一个IP。
使用这些设置就能保证你的remote_addr里设定的一直都是客户端的真实IP,而x_forwarded_for则可以忽略了:)
普通字符匹配,正则表达式规则和长的块规则将被优先和查询匹配,也就是说如果该项匹配还需去看有没有正则表达式匹配和更长的匹配。
"~*"
的指令,如果找到相应的匹配,则nginx停止搜索其他匹配;当没有正则表达式或者没有正则表达式被匹配的情况下,那么匹配程度最高的逐字匹配指令会被使用。
location / {
# 匹配任何请求,因为所有请求都是以"/"开始,但是更长字符匹配或者正则表达式匹配会优先匹配
location ~* /.(gif|jpg|jpeg)$ {
# 匹配以 gif, jpg, or jpeg结尾的请求. 但是所有 /images/ 目录的请求将由 [Configuration C]处理.
相关文章
- Nginx配置文件(nginx.conf)配置详解
- 【说站】域名出售单页HTML模板PHP引导页源码
- 【说站】如何注销网站域名备案?网站备案注销流程介绍
- ubuntu域名服务器配置_linux虚拟主机配置
- GitHub Pages个性化域名配置
- redirect_uri域名与后台配置不一致
- linux+CentOS+宝塔完成环境搭建和配置域名和SSL证书配置
- 注册域名时选取域名的十技巧
- 树莓派 + frp + 公网服务器,实现自定义域名内网穿透,暴露内网服务在公网(多 ssh, 多 web)
- 配置Linux系统IP及域名设置完全指南(linuxip和域名)
- 解决域名访问MySQL的普遍问题(域名访问mysql)
- Linux 域名配置指南(linux域名配置)
- Linux配置多域名:一步步走到成功(linux配置多域名)
- 如何在Nginx上配置MySQL数据库(nginx配置mysql)
- 谷歌浏览器已放弃隐藏WWW等域名信息 因为这对提高安全性并没有帮助
- Linux服务器域名配置实现快速上网(linux服务器域名配置)
- 配置Linux下快速删除Nginx配置的技巧(linux删除nginx)
- Linux如何配置域名访问?25字指南教你快速上手!(linux配置域名访问)
- Linux下快速配置域名的简单方法(linux如何配置域名)
- 间分隔使用Redis配置不同域名间的分离(redis配置域名)
- 检查域名MXPTR(反向解析)记录的处理方法