nginx入门详解(四)- 访问控制

最新推荐文章于 2022-10-14 21:31:58 发布
最新推荐文章于 2022-10-14 21:31:58 发布
阅读量343 收藏
点赞数
分类专栏: nginx篇 文章标签: nginx linux运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lu_tixia/article/details/96886261
版权
上一章就配置文件进行了一个解说,但是没有结合实例,看一遍可能很难记住。
这一章就结合实例来看下通过修改配置文件,实现简单的防火墙功能。

这个功能的实现依靠nginx的access模块,这个模块在我们编译nginx时会默认编译进nginx的二进制文件中。

语法:

Syntax:	allow address | CIDR | unix: | all;
Default:	—
Context:	http, server, location, limit_except


Syntax:	deny address | CIDR | unix: | all;
Default:	—
Context:	http, server, location, limit_except

allow: 允许访问的IP或者网段。

deny: 拒绝访问的ip或者网段。

从语法上看,它允许配置在http指令块中,server指令块中还有locatio指令块中,这三者的作用域有所不同。

如果配置在http指令块中,将对所有server(虚拟主机)生效;

配置在server指令块中,对当前虚拟主机生效;

配置在location指令块中,对匹配到的目录生效。

ps: 如果server指令块,location指令块没有配置限制指令,那么将会继承http的限制指令,但是一旦配置了会覆盖http的限制指令。或者说作用域小的配置会覆盖作用域大的配置

实例一:

在http指令块下配置单ip限制;

http {
    include       mime.types;
    default_type  application/octet-stream;
    #限制10.10.10.14这个ip访问
    deny 10.10.10.14;
    ...
}

ps: 配置完记得重载配置文件

/usr/local/nginx/sbin/nginx -s reload

在10.10.10.14机器上访问:

在自己服务上访问:

[root@localhost ~]# curl -I 10.10.10.17
HTTP/1.1 200 OK
Server: nginx/1.16.0
Date: Mon, 22 Jul 2019 02:24:19 GMT
Content-Type: text/html

可以看到只对14这个ip生效了,如果有配置虚拟主机,那么这个ip将都不能访问。因为现在还没讲到虚拟主机,所以先不配置了。

如果想让整个网段都不能访问呢?只需要将这个ip改为网段即可。

http {
    include       mime.types;
    default_type  application/octet-stream;
    #将ip改为网段
    deny 10.10.10.0/24;
    ...
}

在自己服务器上访问;

[root@localhost ~]# curl -I 10.10.10.17
HTTP/1.1 403 Forbidden
Server: nginx/1.16.0

在10.10.10.14机器上访问:

可以看到都不能访问了,对整个网段的限制已生效。

实例二:

在server指令块配置,配置方法都是一样的,只是作用范围不同。

 server {
        listen       80;
        server_name  localhost;
        deny 10.10.10.14;
        ...
    }

在自己服务器上访问:

[root@localhost ~]# curl -I 10.10.10.17
HTTP/1.1 200 OK
Server: nginx/1.16.0
Date: Mon, 22 Jul 2019 02:45:06 GMT

在10.10.10.14机器上访问:

限制网段同上,这里就不在演示了。

实例三:

在location指令块配置访问控制。这种配置是最多的,因为有时候我们要限制用户对某些文件或者目录的访问,这些文件通常是比较重要的或者私密的。

location /secret {
                deny 10.10.10.14;
        }

创建目录以及测试文件:
[root@localhost ~]# mkdir -p /usr/local/nginx/html/secret
[root@localhost ~]# echo "this is secret" > /usr/local/nginx/html/secret/index.html

在本机访问:

[root@localhost ~]# curl 10.10.10.17/secret/index.html
this is secret

在10.10.10.14上访问:

白名单设置:

现在我们讲到的都是限制某个IP或者网段,这些形式是黑名单式的,默认放行,指定的ip或者网段被限制。但如果你搭建的服务只针对于某些IP或者网段开放,那么可以使用白名单设置,默认拒绝,指定的放行。

实例:

location /secret {
                allow 10.10.10.14;
                deny all;
        }

在本机访问:

[root@localhost ~]# /usr/local/nginx/sbin/nginx -s reload
[root@localhost ~]# curl 10.10.10.17/secret/index.html
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.16.0</center>
</body>
</html>

在10.10.10.14上访问:

可以看到,现在只有14可以访问了,连本机都被拒绝了。因为我们只放行了14这个IP。

这将是nginx系列文章,可以关注同名公众号,获取最新的更新以及常用精品软件哦。

运维朱工
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
win环境使用nginxnginx-http-flv-module.zip
08-24
在windows 7 64位 环境下使用nginxnginx-http-flv-module搭建flv视频流播放所有的安装包,参考:https://blog.csdn.net/qq_33071429/article/details/102628008
nginx访问控制
霓虹深处
05-17 580
基于ip的访问控制 http_access_module 基于用户的信任登录 http_auth_basic_module 一.http_access_module 基于IP的访问控制,基于Nginx的http_access_module模块,是Nginx本身内置的模块,不需要安装的时候配置。也就是允许哪些IP访问,不允许哪些IP访问 语法: 允许 Syntax:allow addre...
nginx访问控制
tanyyinyu的博客
10-17 357
全局控制 语句1: server { listen 80 default_server; server_name blog.tany.com; allow 127.0.0.1; #白名单模式; deny all; 测试结果1: [root@draft conf.d]# curl -x127.0.0.1:80 blog.tany.com/admin/1.txt...
Nginx的两种访问控制详解
weixin_34419326的博客
06-14 164
nginx访问控制的两种方法,一种是基于Basic Auth认证,另一种是基于IP的访问控制 Basic Auth认证基于用户授权的访问控制:当客户端想要访问相应的网站或者目录,要求用户输入用户名和密码才能访问。 基于IP的访问控制: deny IP/IP段 : 拒绝某个IP或IP段的客户端访问。 allow IP/IP段 : 允许某个IP或IP段的客户端访问。 规则从上往下执...
详解Nginx 对访问量的控制
09-30
本文详解的介绍了 Nginx 的 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模块,对请求访问量进行控制。非常具有实用价值,需要的朋友可以参考下
windows平台nginx编译nginx-http-flv-module
03-28
windows平台nginx编译nginx-http-flv-module,可直接运行,基于nginx-1.17.10编译
windows下编译nginx-http-flv-moudle
11-18
windows下编译nginx-http-flv-moudle,编译好的,下载开箱可用,作者亲测。用于直播推流,浏览器flvjs播放视频,支持无插件flash播放。
nginx-http-flv-module(windows版)
04-14
--> nginx-1.21.6 ======================== 在网上查找半天都只有教程,没有可免费下载的版本,深知没有积分遍地找资源的痛苦,无奈之下只好自己按照教程一步一个坑编译出来的,供大家免费下载使用。(无毒放心使用...
nginx,搭建文件上传、下载服务器
笨办法学linux的博客
10-14 4693
通过nginx做资源下载站,很多运维小伙伴应该是比较熟悉的了。不过用nginx做webdav,可能还有小伙伴不是很清楚。
nginx小技巧之隐藏版本号
笨办法学linux的博客
08-05 819
有时候在生产企业,并不是很想让别人知道我们使用的nginx是哪个版本,所以需要对外隐藏版本号。 比如,163镜像站,我们随意访问一个不存在的资源,然后看nginx返回的信息,可以看到只返回了nginx,并没有看到其版本号。 实例: 在nginx的配置文件添加一个指令: server_tokens off; 这个指令可以添加在http,server,location中。一般直接...
nginx入门详解(五)- 目录加密
笨办法学linux的博客
07-23 732
在上一章,介绍了对用户的访问限制,这章重点介绍介绍对用户访问目录进行加密,只有输入正确的用户名与密码才能进行访问。 这个功能特性是由ngx_http_auth_basic_module提供的,默认编译nginx时会编译好,主要有以下两个指令。 Syntax: auth_basic string | off; Default: auth_basic off; Context: http, s...
nginx入门详解(二)- 常用命令实战
笨办法学linux的博客
07-22 692
在上一篇中,我们主要讲到了nginx的安装,分别介绍了yum安装与源码编译安装。 这篇文章主要探讨nginx的相关命令。 使用/usr/local/nginx/sbin/nginx -h命令查看可用参数: [root@localhost ~]# /usr/local/nginx/sbin/nginx -h nginx version: nginx/1.16.0 Usage: nginx [...
nginx入门详解(九)- 负载均衡
笨办法学linux的博客
07-28 377
负载均衡目的: 将前端超高并发访问转发至后端多台服务器进行处理,解决单个节点压力过大,造成Web服务响应过慢,严重的情况下导致服务瘫痪,无法正常提供服务的问题。 工作原理: 负载均衡分为层负载均衡和七层负载均衡。 层负载均衡是工作在七层协议的第层-传输层,主要工作是转发。 它在接收到客户端的流量以后通过修改数据包的地址信息(目标地址和端口)将流量转发到应用服务器。 七层负载均衡是...
nginx入门详解(一)- 安装部署
笨办法学linux的博客
07-22 336
本章重点介绍nginx的安装部署: YUM安装部署 源码安装部署 登录http://nginx.org官网: 点击右侧的download: 主线版本:也叫开发版本,目前最新但是还没有经过大量测试的版本。 稳定版本:稳定版通常是经过大量测试的,相对比较稳定的版本,企业中我们也会使用稳定版。 历史版本:通常是往期的稳定版本。 yum安装 配置yum仓库: 1、点击 当前页最下方的...
nginx入门详解(三)- 配置文件解读
笨办法学linux的博客
07-22 318
上一章节主要讲解了nginx的常用命令,这一章节重点讲解nginx的配置文件。 nginx配置文件路径 不同安装方式,nginx的文件存放路径也有所不同。 源码编译安装方式:在安装目录下的conf目录下,比如我的安装目录是/usr/local/nginx,那么他的配置文件就在/usr/local/nginx/conf目录下。 yum安装方式:在/etc/nginx/目录(主配置文件)与/e...
nginx入门详解(六)- 日志切割
笨办法学linux的博客
07-24 226
上一章讲解了nginx的目录加密功能,本章重点介绍nginx的日志切割。 在第二章,我们探讨了nginx的常用命令,如果还不熟悉,可以去看着练习几遍。 我们可以通过"/usr/local/nginx/sbin/nginx -s"命令向nginx的主进程(master进程)发送信号,这些信号有stop、quit、reopen、以及reload。 那么其中的reopen,就是我们今天的主角,我们...
nginx入门详解(八)- 反向代理
笨办法学linux的博客
07-27 213
概念 反向代理是nginx的一个重要功能,在编译安装时会默认编译该模块。在配置文件中主要配置proxy_pass指令。 代理服务器接受客户端的请求,然后把请求转发给后端真实服务器进行处理,然后再将服务器的响应结果返给客户端。 作用: 与正向代理(正向代理主要是代理客户端的请求)相反,反向代理主要是代理服务器返回的数据,所以它的作用主要有以下两点: 可以防止内部服务器被恶意攻击(内部服务器...
nginx如何安装nginx-rtmp-module
最新发布
07-28
nginx-rtmp-module是一个用于在Nginx服务器上实现流媒体传输的模块。安装nginx-rtmp-module需要先安装Nginx服务器,然后下载并编译安装nginx-rtmp-module。 具体步骤如下: 1. 安装Nginx服务器 可以使用包管理器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

运维朱工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值