host 端口_Nginx禁止未绑定域名或IP访问80和443端口实践小结

最新推荐文章于 2023-01-07 23:18:30 发布
最新推荐文章于 2023-01-07 23:18:30 发布
阅读量662 收藏
点赞数
文章标签: host 端口 host 配置端口 nginx 共享文件目录 端口访问 php正则匹配域名不包含端口 域名可以绑定非80端口吗 域名怎么设置非80端口

前言

nginx在决定请求由哪个server块执行时,主要关注的是server块中的listen和server_name两个字段,如果根据listen指令无法得到最佳匹配,将会开始解析server_name指令。nginx会检查请求中的"Host"头,这个值包含了客户端实际试图请求的域名或者ip地址。nginx会根据这个值去匹配server_name指令,匹配规则会在文章中详细描述。其中有一个需要大家注意的地方是如果没有匹配到任何规则的话,则会选择可用列表中的第一个server,带来的问题就是未绑定域名或IP直接访问80和443端口会给后端逻辑服务增加压力并产生不合理的错误日志,合适的解决办法是通过在nginx的server块中添加default_server禁止未绑定域名或IP访问80和443端口过滤不合理的流量。

Nginx禁止未绑定域名或IP访问80和443端口实践小结

更新历史

2020年02月26日 - 初稿

阅读原文 - https://wsgzao.github.io/post/nginx-default-server/

Server_name指令

如果根据listen指令无法得到最佳匹配,将会开始解析server_name指令.nginx会检查请求中的"Host"头,这个值包含了客户端实际试图请求的域名或者ip地址.nginx会根据这个值去匹配server_name指令,匹配规则如下:

  1. nginx会尝试寻找一个和sever_name和Host值完全匹配的server块,如果找到多个精确匹配,则会使用第一个匹配的server块
  2. 如果没有找到精确匹配的server块,则nginx尝试找到server_name带有*开头的server块,如果找到多个,则选择最长匹配的server块
  3. 如果没有找到使用开头的server块,则会寻找以结尾的server块,同样,如果有多个匹配, 选择最长匹配
  4. 如果没有找到使用*匹配的server块,则会寻找使用正则表达式(以~开头)定义server_name的server块,如果找到多个匹配,会使用第一个匹配
  5. 如果没有找到正则表达式匹配的server块,则nginx将会选择一个匹配listen字段的default server块.每一个ip和端口组合都可以配置一个且只能配置一个默认的default_server块,如果没有的话,则会选择可用列表中的第一个server

示例如下:

(1)准确的server_name匹配,例如:

server {
     listen       80;
     server_name  www.domain.com;
     ...
}

(2)以*通配符开始的字符串:

server {
     listen       80;
     server_name  *.domain.com;
     ...
}

(3)以*通配符结束的字符串:

server {
     listen       80;
     server_name  www.*;
     ...
}

(4)匹配正则表达式:

server {
     listen       80;
     server_name  ~^(?.+).domain.com$;
     ...
}

(5)如果以上都没有匹配,则使用default_server.如果没有指定default_server,则会选择第一个可用的server.我们可以指定对于没有匹配的host值时,返回错误到客户端.可以用来防止别人把垃圾流量转到你的网站。

server {
    listen  80   default_server;
    server_name  _;    return 444;
}

通过返回444这个nginx的非标准错误码让nginx断开与浏览器的连接

Nginx官方对default_server的解释

Miscellaneous names

If someone makes a request using an IP address instead of a server name, the “Host” request header field will contain the IP address and the request can be handled using the IP address as the server name:

server {
    listen       80;
    server_name  example.org
                 www.example.org
                 ""
                 192.168.1.1
                 ;
    ...
}

In catch-all server examples the strange name “_” can be seen:

server {
    listen       80  default_server;
    server_name  _;
    return       444;
}

There is nothing special about this name, it is just one of a myriad of invalid domain names which never intersect with any real name. Other invalid names like “--” and “!@#” may equally be used.

Name-based virtual servers

nginx first decides which server should process the request. Let’s start with a simple configuration where all three virtual servers listen on port *:80:

server {
    listen      80;
    server_name example.org www.example.org;
    ...
}

server {
    listen      80;
    server_name example.net www.example.net;
    ...
}

server {
    listen      80;
    server_name example.com www.example.com;
    ...
}

In this configuration nginx tests only the request’s header field “Host” to determine which server the request should be routed to. If its value does not match any server name, or the request does not contain this header field at all, then nginx will route the request to the default server for this port. In the configuration above, the default server is the first one — which is nginx’s standard default behaviour. It can also be set explicitly which server should be default, with the default_server parameter in the listen directive:

server {
    listen      80 default_server;
    server_name example.net www.example.net;
    ...
}

The default_server parameter has been available since version 0.8.21. In earlier versions the default parameter should be used instead. Note that the default server is a property of the listen port and not of the server name. More about this later.

How to prevent processing requests with undefined server names

If requests without the “Host” header field should not be allowed, a server that just drops the requests can be defined:

server {
    listen      80;
    server_name "";
    return      444;
}

Here, the server name is set to an empty string that will match requests without the “Host” header field, and a special nginx’s non-standard code 444 is returned that closes the connection.

Since version 0.8.48, this is the default setting for the server name, so the server_name "" can be omitted. In earlier versions, the machine’s hostname was used as a default server name.

nginx禁止未绑定域名或IP访问80和443端口实践

Nginx uses 'Host' header for server_name matching. It does not use TLS SNI. This means that for an SSL server, nginx must be able to accept SSL connection, which boils down to having certificate/key. The cert/key can be any, e.g. self-signed.

{
    server_name _
详细的配置步骤 
# 未设置default_server,会根据列表第一个server服务,产生垃圾流量
xxx - -

参考文章

nginx Server names

How nginx processes a request

Properly setting up a “default” nginx server for https

理解Nginx中Server和Location的匹配逻辑

weixin_39922683
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx 代理80端口443端口的实现
01-09
nginx.conf配置文件如下 user nginx; worker_processes 1; error_log /var/log/nginx/error.log warn; pid /var/run/nginx.pid; events { worker_connections 1024; } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time_loca
Docker 安装 Gitlab
老猿说说专栏
08-23 342
安装环境 操作系统 centos7.3 安装Docker,安装及配置见 《Docker之Docker介绍及安装配置》 安装Gitlab 下载Gitlab 运行命令:$ sudo docker pull gitlab/gitlab-ce:latest 启动GitLab 运行命令: sudo docker run -d \ --priv
charles及弱网测试
Sylvia_0218的博客
10-27 573
安装 安装完成后,charles ---> help---> register,输入注册信息:Registered Name:https://zhile.io、License Key: 48891cf209c6d32bf4。 相关配置: 1、安装根证书:help - ssl proxying - install charles root certificate 2、双击相关证书,选择始终信任 3、设置匹配规则,菜单栏- proxy - ssl proxy settings, ...
Nginx如何处理一个请求
weixin_34143774的博客
06-17 110
  看了下nginx的官方文档,其中nginx如何处理一个请求讲解的很好,现在贴出来分享下。Nginx首先选定由哪一个虚拟主机来处理请求。让我们从一个简单的配置(其中全部3个虚拟主机都在端口*:80上监听)开始: 1 server { 2 listen 80; 3 server_name example.org www.example.org; 4 ...
nginx 配置域名 http https 80+443端口
书写人生
01-07 3224
注意,有些云服务商,如天翼云,备案时禁用80/443/8080端口。rm /etc/nginx/sites-enabled/default # 删除默认80端口配置
thinkphp tp5.0.24 资源路由 80端口 域名 问题
懒散码农农场
07-20 588
thinkphp tp5.0.24 资源路由 端口 域名 问题 在绑定80端口的资源路由时遇到的问题,起因是有台服务器需要通过多个端口访问。 尝试这样配置路由,错误 访问 192.168.1.123:6001/news/ 报错找不到 news 控制器 Route::domain('192.168.1.123:6001', function() { Route::resource('news', 'new'); }); 定位原因 通过测试 80 端口域名,打印 self::$rules 确认
wordpress建站注意事项-----以及不是80端口时,访通过域名访问时的隐藏方法---nginx相应的配置
Ripo_za的博客
08-17 3928
对于springboot这类的javaweb项目,使用nginx做代理时比较简单,直接代理对应的端口就行了。 但是如果是wordpress的话,虽然按照下面的配置了,但是访问的时候还会出现端口。 server{ listen 80; server_name aaa.com; location / { proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_
域名解析到80端口,个人网站搭建
blake321的博客
10-08 8293
1 问题来源 今天网站的备案终于通过的,兴冲冲地去搞域名解析,结果发现域名解析到ip之后,默认访问的是80端口,而自己部署的网站设置端口是9528(反正是80端口),网上找了下各种答案,发现要把域名解析到80端口的几种方法都不太行,其中有的是说改成 域名端口访问,直接报 Invalid Host header,而另外一种是做url转发,需要两个域名,且两个域名都需要备案,我晕。 2 解决方案 改为用 nginx做代理转发,nginx默认的80端口访问域名解析的时候还是按照 直接解析到ip,然后在
linux默认的https端口,Linux上nginx配置80443端口自动跳往https端口
weixin_34305716的博客
04-30 1165
在生产环境中往往碰到一个网站需要多个访问端口,而默认的http访问端口80,https访问端口是443,然而这是不够在生产环境下使用的,这个时候就需要配置更多的端口来弥补这一缺点。默认情况下用户输入URL时是约简单越好,比如http://baidu.com ,用户只需要输入baidu.com就可以访问。但是这样是通过http协议进行访问,而并https进行访问。站在用户的角度来考虑问题他不会...
Nginx配置基于多域名端口IP的虚拟主机
01-10
同理,所谓基于端口的虚拟主机,意思就是通过不同的端口来区分不同的虚拟主机,此类虚拟主机对应的企业应用主要为公司内部的网站,例如:一些不希望直接对外提供用户访问的网站后台等,访问基于端口的虚拟主机,地址...
Nginx配置80端口访问8080及项目名地址方法解析
09-29
主要介绍了Nginx配置80端口访问8080及项目名地址方法解析,文中通过示例代码介绍的常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
使用nginx反向代理实现直接访问域名而不用输入端口
01-07
首先是nginx安装 [root@iZbp1fuxe9jel2667kxu6eZ ~]# yum install nginx -y 进入目录 [root@iZbp1fuxe9jel2667kxu6eZ ~]# cd /etc/nginx 修改配置文件 [root@iZbp1fuxe9jel2667kxu6eZ nginx]# vim nginx.conf ...
Nginx 设置域名转发到指定端口的实现方法
01-10
进入 /usr/local/nginx/conf sudo cd /usr/local/nginx/conf 创建 vhost 目录 sudo mkdir vhost 修改 nginx.conf 文件 sudo cp nginx.conf nginx.conf_back sudo vim nginx.conf 设置访问机器的 hosts 文件,...
2024-2030全球与中国盐氯化系统市场现状及来发展趋势.docx
04-24
2024-2030全球与中国盐氯化系统市场现状及来发展趋势
基于深度学习的积灰检测识别-图像分类源码+数据集.zip
最新发布
04-24
详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;
沈阳药科大学-答辩通用PPT模板我给母校送模板作品.pptx
04-24
PPT模板,答辩PPT模板,毕业答辩,学术汇报,母校模板,我给母校送模板作品,周会汇报,开题答辩,教育主题模板下载。PPT素材下载。
微信备忘录小程序源码 作业设计demo 计算机专业作业
04-24
微信备忘录小程序源码 作业设计demo 微信备忘录小程序是一种便捷的个人记事应用,它允许用户在微信内快速记录和查看备忘录。以下是对微信备忘录小程序的简要介绍: --- **微信备忘录小程序** 微信备忘录小程序为用户提供了一个简单、直观的记事平台。用户可以通过这个小程序记录日常事务、重要提醒和个人笔记,常适合忙碌的现代生活节奏。 主要特点包括: 1. **快速记录**:用户可以迅速添加文本、列表或语音备忘录。 2. **定时提醒**:为每个备忘录设置提醒时间,确保不会错过任何重要事项。 3. **个性化分类**:支持自定义分类,便于管理和查找备忘录。 4. **界面友好**:清晰的界面设计,操作简便,无需复杂的学习过程。 5. **数据同步**:通过微信账号登录,实现备忘录的云端同步,方便在不同设备间切换使用。 此外,小程序还具备以下优势: - **隐私保护**:备忘录内容仅对用户本人可见,保障个人隐私。 - **无广告干扰**:提供一个无广告的清爽记事环境。 - **离线存储**:即使在无网络环境下,也能正常使用,记录的内容会在联网后自动同步。 微信备忘录小程序是日
中国海洋大学-汇报答辩专用PPT模板我给母校送模板作品.pptx
04-24
PPT模板,答辩PPT模板,毕业答辩,学术汇报,母校模板,我给母校送模板作品,周会汇报,开题答辩,教育主题模板下载。PPT素材下载。
阿里云nginx绑定域名
07-29
在阿里云服务器上绑定域名Nginx,你可以按照以下步骤进行操作: 1. 打开Nginx配置文件nginx.conf,该文件通常位于/usr/local/nginx/conf目录下。\[1\] 2. 在server节点中添加以下内容: ``` server { listen ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值