linux学习第四十六篇：Nginx防盗链，Nginx访问控制，Nginx解析php相关配置，Nginx代理

Nginx防盗链

• vim /usr/local/nginx/conf/vhost/test.com.conf
  配置如下，可以和上面的配置结合起来：

location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$
{
    expires 7d;
    valid_referers none blocked server_names  *.test.com ; //定义白名单
    if ($invalid_referer) {
        return 403;
    }//如果不是白名单里的就返回403
    access_log off;
}

• curl测试，-e指定referer：
  referer是白名单里的才能正常访问（referer要记得加http://）
  

Nginx访问控制

• 需求：访问/admin/目录的请求，只允许某几个IP访问，
  vim /usr/local/nginx/conf/vhost/test.com.conf
  配置如下：

location /admin/
{
    allow 192.168.133.1;
    allow 127.0.0.1;
    deny all;
}

• 创建admin目录：
  mkdir /data/wwwroot/test.com/admin/

• 编辑测试文件：
  echo “test,test”>/data/wwwroot/test.com/admin/1.html

• 测试加载配置文件：
  -t && -s reload

• curl测试：
  curl -x127.0.0.1:80 test.com/admin/ -I
  curl -x192.168.118.129:80 test.com/admin/ -I
  没有在白名单里的ip访问网站限制的admin目录的时候就会出现403
  

• 把能上传的目录禁掉，禁止解析php：
  配置如下：

location ~ .*(upload|image)/.*\.php$  //意思是匹配upload或者image目录下的.php文件
{
        deny all;
}

• 配置好后测试加载配置文件：
  -t && -s reload

• curl测试：
  * curl -x127.0.0.1:80 test.com/upload/1.php -I*
  upload目录下的.php文件不能访问了，但是除了.php的其他的就能访问。
  

---

• 根据user_agent限制
  

  如果你的网站不想被人搜到，就把那些蜘蛛网封掉，像百度，谷歌等把他们封掉，没有任何网站可以爬到你的数据。
  配置如下：

if ($http_user_agent ~ 'Spider/3.0|YoudaoBot|Tomato')
{
      return 403;
}
//deny all和return 403效果一样

• curl测试，-A是模拟user_agent：
  Tomato是在限制的user_agent名单里，所以不能访问，这里是没有忽略大小写了
  如果要忽略大小写，可在if语句的 ~ 后面加上 *，如：if ($http_user_agent ~* ‘Spider/3.0|YoudaoBot|Tomato’)
  

Nginx解析php相关配置

• vim /usr/local/nginx/conf/vhost/test.com.conf
  配置如下：

location ~ \.php$
    {
        include fastcgi_params;
        fastcgi_pass unix:/tmp/php-fcgi.sock; //如果文件写错名字，访问的时候就会出现502
        //如果遇到502，就检查fastcgi_pass的地址Nginx跟php-fpm所配置的地址对应。
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME /data/wwwroot/test.com$fastcgi_script_name; //这个的路径要跟开头配置的root的路径对应。

//fastcgi_pass 用来指定php-fpm监听的地址或者socket
    }

• 没有配置前是解析不了php的，如图：
  
  配置后重新加载配置文件，访问php文件后可以解析：
  

• PS：
  常见的502错误
  1.配置错误
  因为nginx找不到php-fpm了，所以报错，一般是fastcgi_pass后面的路径配置错误了，后面可以是socket或者是ip:port
  2.资源耗尽
  lnmp架构在处理php时，nginx直接调取后端的php-fpm服务，如果nginx的请求量偏高，我们又没有给php-fpm配置足够的子进程，那么php-fpm就会资源耗尽，一旦资源耗尽nginx找不到php-fpm就会出现502错误，
  解决方案
  去调整php-fpm.conf中的pm.max_children数值，使其增加，但是也不能无限增加，毕竟资源有限，一般4G内存机器如果跑php-fpm和nginx，不跑mysql可以设置为150，8G为300以此类推
  3.除了上面的两种错误还有其他的原因，很少有，我们可以借助nginx的错误日志来进行排查vim /usr/local/nginx/logs/nginx_error.log 我们也可以给日志定义级别vim/usr/local/nginx/conf/nginx.conf 找到error_log，默认是crit最严谨的就行，也可以改成debug显示的信息最全面，但是很容易撑爆我们的磁盘。

Nginx代理

一家公司有很多台服务器，为了节省成本，不能为所有服务器都分配公网IP，而如果一个没有公网IP的服务器要提供Web服务，就可以通过代理来实现

• 创建一个新的配置文件：
  cd /usr/local/nginx/conf/vhost
  vim proxy.conf
  加入如下内容：

server
{
    listen 80;
    server_name ask.apelearn.com;

    location /
    {
        proxy_pass      http://121.201.9.155/; //指定要代理的域名所在的服务器IP，即Web服务器的地址
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
//这里没有root，因为它是代理服务器，不需要访问本地服务器上的任何文件

• 针对蜘蛛的索引的列表，一般网站都会有这个：
  

• 通过本地的IP访问了远程的站点，代理服务器就是我们的虚拟机，Web服务器就是我们访问的ask.apelearn.com
  

扩展
502问题汇总 http://ask.apelearn.com/question/9109
location优先级 http://blog.lishiming.net/?p=100