nginx第八天

Nginx访问控制 —— deny_allow

Nginx的deny和allow指令是由ngx_http_access_module模块提供，Nginx安装默认内置了该模块。
除非在安装时有指定 --without-http_access_module。

语法

语法：allow/deny address | CIDR | unix: | all

它表示，允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问。
注意：unix在1.5.1中新加入的功能。

在nginx中，allow和deny的规则是按顺序执行的。

示例

示例1：
location /
{
    allow 192.168.0.0/24;
    allow 127.0.0.1;
    deny all;
}

说明：这段配置值允许192.168.0.0/24网段和127.0.0.1的请求，其他来源IP全部拒绝。

示例2：
location ~ "admin"
{
    allow 110.21.33.121;
    deny all
}
说明：访问的uri中包含admin的请求，只允许110.21.33.121这个IP的请求。

基于location的访问控制

在生产环境中，我们会对某些特殊的请求进行限制，比如对网站的后台进行限制访问。
这就用到了location配置。

示例1

location /aming/
{
    deny all;
}

说明：针对/aming/目录，全部禁止访问，这里的deny all可以改为return 403.

示例2

location ~ ".bak|.ht"
{
    return 403;
}
说明：访问的uri中包含.bak字样的或者包含.ht的直接返回403状态码。

测试链接举例：
1. www.aminglinux.com/123.bak
2. www.aminglinux.com/aming/123/.htalskdjf

示例3

location ~ (data|cache|tmp|image|attachment).*.php$
{
    deny all;
}

说明：请求的uri中包含data、cache、tmp、image、attachment并且以.php结尾的，全部禁止访问。

测试链接举例：
1. www.aminglinux.com/aming/cache/1.php
2. www.aminglinux.com/image/123.phps
3. www.aminglinux.com/aming/datas/1.php

Nginx基于$document_uri的访问控制

这就用到了变量$document_uri，根据前面所学内容，该变量等价于$uri，其实也等价于location匹配。

示例1

if ($document_uri ~ "/admin/")
{
    return 403;
}

说明：当请求的uri中包含/admin/时，直接返回403.

if结构中不支持使用allow和deny。

测试链接：
1. www.aminglinux.com/123/admin/1.html 匹配
2. www.aminglinux.com/admin123/1.html  不匹配
3. www.aminglinux.com/admin.php  不匹配

示例2

if ($document_uri = /admin.php)
{
    return 403;
}

说明：请求的uri为/admin.php时返回403状态码。

测试链接：
1. www.aminglinux.com/admin.php 匹配
2. www.aminglinux.com/123/admin.php  不匹配

示例3

if ($document_uri ~ '/data/|/cache/.*.php$')
{
    return 403;
}

说明：请求的uri包含data或者cache目录，并且是php时，返回403状态码。

测试链接：
1. www.aminglinux.com/data/123.php  匹配
2. www.aminglinux.com/cache1/123.php 不匹配

nginx基于$request_uri访问控制

$request_uri比$docuemnt_uri多了请求的参数。
主要是针对请求的uri中的参数进行控制。

示例

if ($request_uri ~ "gid=d{9,12}")
{
    return 403;
}

说明：d{9,12}是正则表达式，表示9到12个数字，例如gid=1234567890就符号要求。

测试链接：
1. www.aminglinux.com/index.php?gid=1234567890&pid=111  匹配
2. www.aminglinux.com/gid=123  不匹配

背景知识：
曾经有一个客户的网站cc攻击，对方发起太多类似这样的请求：/read-123405150-1-1.html
实际上，这样的请求并不是正常的请求，网站会抛出一个页面，提示帖子不存在。
所以，可以直接针对这样的请求，return 403状态码。