概要
这个模块提供了一个简单的基于主机的访问控制。
nginx_http_access_module 模块是的控制客户端特定ip地址访问成为可能。从nginx 08.22
开始支持 IPv6。
访问规则更具他们声明的顺序组个检查。符合规则特定地址或者地址组将首先被执行。
配置实例:
location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2620:100:e000::8001;
deny all;
}
在这个例子中,授权10.1.1.0/16和192.168.1.0/24 的网络访问,拒绝192.168.1.1地址的访问,而且拒绝所有其他地址的访问(由deny all规则在这个location块的最后定义)
另外,它允许一个特定的 IPv6地址访问。所有其他的将被拒绝访问。
思考一下下面的错误位置:
location / {
# 这常常返回403.很显然不是你所需要的。
deny all;
# 这些规则将不会执行,因为首先执行的是 deny all规则.
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/1
}
如果你需要使用很多访问规则,你可以考虑一下GeoIP module ,在其他可选的访问模式中,他是首选。
规则
allow
syntax: allow [ address | CIDR | all ]
default: none
context: http, server, location, limit_except
variables: no
phase: access
规则授予指定的网络或者地址访问权限
deny
syntax: deny [ address | CIDR | all ]
default: none
context: http, server, location, limit_except
variables: no
phase: access
规则禁止指定的网络或者地址访问权限
小技巧
NginxHttpAccessModule可以和error_page 规则联合使用,世未授权的访问者重定向到可选的其他站点:
error_page 403 http://example.com/forbidden.html;
location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
deny all;
}