nginx如何限制ip访问
How to restrict ip access in nginx
我想通过 IP 限制对 Nginx reverse_proxy 中特定 php 文件的访问。
所以在我的虚拟主机路径 /etc/nginx/sites-available/sub.mydmn.com 中,我有以下配置:
server {
server_name wwww.sub.mydmn.com sub.mydmn.com;
root /home/mydmn/;
access_log off;
# Static contents
location ~* ^.+.(png|mp4|jpeg)$ {
expires max;
}
# Limit IP access
location = /mine.php {
allow <MyIP_Here>;
deny all;
return 404;
}
# Dynamic content, forward to Apache
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_pass http://127.0.0.1:8080;
}
}
# Deny server with IP access!
server {
listen 80 default_server;
server_name _;
location / {
return 403;
}
}
但是当我启动服务器时,Nginx 阻止了 mine.php 的所有 IP。
有什么问题?
Nginx 选择单个 location 块来处理请求(参见 this document)。如果 IP 地址被拒绝,您的 location = /mine.php 块不仅 returns 403 状态,而且如果 IP 地址被允许 returns 404 状态。如果允许 IP 地址,则需要由端口 8080 上的服务处理请求。
一种解决方案是复制 location / 块中的语句。
例如:
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
location = /mine.php {
allow ...;
deny all;
proxy_pass http://127.0.0.1:8080;
}
location / {
proxy_pass http://127.0.0.1:8080;
}
请注意,proxy_set_header 语句可以移到外部块中,以便它们被两个块继承。有关详细信息,请参阅 this document。
我想通过 IP 限制对 Nginx reverse_proxy 中特定 php 文件的访问。
所以在我的虚拟主机路径 /etc/nginx/sites-available/sub.mydmn.com 中,我有以下配置:
server {
server_name wwww.sub.mydmn.com sub.mydmn.com;
root /home/mydmn/;
access_log off;
# Static contents
location ~* ^.+.(png|mp4|jpeg)$ {
expires max;
}
# Limit IP access
location = /mine.php {
allow <MyIP_Here>;
deny all;
return 404;
}
# Dynamic content, forward to Apache
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_pass http://127.0.0.1:8080;
}
}
# Deny server with IP access!
server {
listen 80 default_server;
server_name _;
location / {
return 403;
}
}
但是当我启动服务器时,Nginx 阻止了 mine.php 的所有 IP。
有什么问题?
Nginx 选择单个 location 块来处理请求(参见 this document)。如果 IP 地址被拒绝,您的 location = /mine.php 块不仅 returns 403 状态,而且如果 IP 地址被允许 returns 404 状态。如果允许 IP 地址,则需要由端口 8080 上的服务处理请求。
一种解决方案是复制 location / 块中的语句。
例如:
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
location = /mine.php {
allow ...;
deny all;
proxy_pass http://127.0.0.1:8080;
}
location / {
proxy_pass http://127.0.0.1:8080;
}
请注意,proxy_set_header 语句可以移到外部块中,以便它们被两个块继承。有关详细信息,请参阅 this document。