nginx访问控制、rewrite应用
一、访问控制
在这里依然还是以default2.conf虚拟主机为例,配置文件位置default2.conf
1、允许某个ip访问 ,需要在default2.conf配置配文件中添加,具体如下图:
规则如下:
allow 127.0.0.1;
allow 192.168.21.97;
deny all;
只允许127.0.0.1和192.168.21.97来访问,其他的全部拒绝
退出保存
1)检查配置文件
2)重置配置文件
3)测试
允许ip测试
[root@mysql ~]# curl -x192.168.122.10:80 http://www.guhantai.cn/1.jpg-IHTTP/1.1 200 OKServer: nginx/1.6.2Date: Mon, 22 Jun2015 15:21:05 GMTContent-Type:p_w_picpath/jpegContent-Length: 0Last-Modified: Mon,22 Jun 2015 01:16:22 GMTConnection:keep-aliveETag:"558761e6-0"Expires: Thu, 02 Jul2015 15:21:05 GMTCache-Control:max-age=864000Accept-Ranges: bytes禁止本地IP地址访问
规则如下:
deny 127.0.0.1;
allow all;
1)保存退出
2)检查配置文件
/usr/local/nginx/sbin/nginx -t
3)重置配置文件
[root@mysql ~]# /usr/local/nginx/sbin/nginx -s reload
4)测试
使用127.0.0.1来个访问
[root@mysql ~]# curl -x127.0.0.1:80 http://www.hello.com/1.jpg<html><head><title>403 Forbidden</title></head> #提示被禁止<bodybgcolor="white"><center><h1>403Forbidden</h1></center><hr><center>nginx/1.6.2</center></body></html>[root@mysql ~]# curl -x192.168.122.10:80 http://www.hello.com/1.jpg-IHTTP/1.1 200 OK #访问是OK的3、某个目录下限制IP访问,这个的作用主要就是是针对一些特定的目录来限制访问,依然以default2.conf虚拟主机配置为例
只允许192.168.61.0/24这个网段对w目录访问,其他的全部拒绝,配置文件位置:/usr/local/nginx/conf/vhosts/default2.conf
如图:
规则写法如下:
location /w/ {
allow 192.168.61.0/24; #这里的IP段就是允许的IP段
deny all;
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass unix:/tmp/php-fcgi.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /data/www$fastcgi_script_name;
}
}
一定要加上location php,不然是不会去解析php的
退出保存
检查配置文件
[root@mysql w]# /usr/local/nginx/sbin/nginx -t
重启nginx
/etc/init.d/nginx restart
4、在nginx的配置文件nginx.conf中加入:
include deny.ip;
重启一下nginx的服务:/usr/local/nginx/sbin/nginx reload就可以生效了。
deny.ip 的格式中也可以用deny all;
如果你想实现这样的应用,除了几个IP外,其他全部拒绝,
那需要你在deny.ip 中这样写
allow 1.1.1.1;
allow 1.1.1.2;
deny all;
5、有时候会根据目录来限制php解析,这里依然还是以/usr/local/nginx/conf/vhosts/default2.conf 虚拟主机为例的
location ~ .*(diy|template|p_w_uploads|forumdata|p_w_upload|p_w_picpath)/.*\.php$ #括号里面的表示或者的意思,只要是括号里面的,不管哪一个都禁止
{
deny all;
}
这个的意思就是说访问这些目录后的php全部不解析
添加在这个位置,如下图:
退出保存
检查配置文件
/usr/local/nginx/sbin/nginx -t
重启nginx
/etc/init.d/nginx restart
测试访问www.hello.com后面带p_w_picpath目录下后缀为.php的文件时,提示拒绝访问
[root@mysql ~]# curl -x192.168.21.97:80 http://www.hello.com/wer/p_w_picpath/23.php
<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.6.2</center>
</body>
</html>
6、使用 user_agent 控制客户端访问 ,就是可以限制某些浏览器来访问,只需要将浏览器的标示写入到规则里面就可以,都是在nginx虚拟主机配置文件中设置的
代码如下:
if ($http_user_agent ~ 'bingbot/2.0|MJ12bot/v1.4.2|Spider/3.0|YoudaoBot|Tomato|Gecko/20100315'){
return 403;
}
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /data/www$fastcgi_script_name;
}
二、nginx的rewrite应用
1、rewrite作用
重写URL,或者修改字符串。需要注意的是重写URL只对相对路径有效,如果想要对主机名,要使用if语句
2、伪静态rewrite规则,一下这规则可以作为一个标准的模板,需要的时候直接复制粘贴就可以,当然这个也是写在虚nginx虚拟主机的配置文件中的
伪静态rewrite规则
rewrite ^([^\.]*)/topic-(.+)\.html$ $1/portal.php?mod=topic&topic=$2 last;
rewrite ^([^\.]*)/forum-(\w+)-([0-9]+)\.html$ $1/forum.php?mod=forumdisplay&fid=$2&page=$3 last;
rewrite ^([^\.]*)/thread-([0-9]+)-([0-9]+)-([0-9]+)\.html$ $1/forum.php?mod=viewthread&tid=$2&extra=page%3D$4&page=$3 last;
rewrite ^([^\.]*)/group-([0-9]+)-([0-9]+)\.html$ $1/forum.php?mod=group&fid=$2&page=$3 last;
rewrite ^([^\.]*)/space-(username|uid)-(.+)\.html$ $1/home.php?mod=space&$2=$3 last;
rewrite ^([^\.]*)/(fid|tid)-([0-9]+)\.html$ $1/index.php?action=$2&value=$3 last;
参考文档 :
Rewrite设置及示例 http://www.lishiming.net/thread-239-1-1.html
nginx $document_uri 参数使用 http://www.lishiming.net/thread-993-1-1.html
nginx的301与302如何配置 http://www.lishiming.net/thread-4840-1-1.html
nginx rewrite不支持if 嵌套也不支持逻辑或和逻辑并 http://www.lishiming.net/thread-4842-1-1.html
