专栏首页阿dai_linuxnginx防盗链、访问控制、PHP解析、服务器代理

nginx防盗链、访问控制、PHP解析、服务器代理

12.13 Nginx防盗链

因为该配置也使用location板块,所以本节可结合日志管理一起配置:

[root@adailinux ~]# vim /usr/local/nginx/conf/vhost/test.com.conf
……
location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$
{
    expires 7d;
    valid_referers none blocked server_names  *.test.com ;
    #定义referer白名单
    if ($invalid_referer) {
        return 403;
    #if函数的意思是:如果不是白名单内的域名,返回值:403
    }
    access_log off;
}
……

[root@adailinux ~]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@adailinux ~]# /usr/local/nginx/sbin/nginx -s reload

说明: “location ~* ^.+”在此0“ * ”的作用是后面匹配的内容不区分大小写。

检测

[root@adailinux ~]# curl -e "http://www.baidu.com/1.txt" -x127.0.0.1:80 -I test.com/baidu.png
HTTP/1.1 403 Forbidden
Server: nginx/1.12.1
Date: Mon, 14 Aug 2017 06:22:36 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive

即,使用非白名单内的referer进行访问,被拒绝!!!

12.14 Nginx访问控制

需求:访问/admin/目录的请求,只允许几个指定IP通过,配置如下:

[root@adailinux ~]# vim /usr/local/nginx/conf/vhost/test.com.conf 
……
location /admin/
    {
    allow 192.168.8.132;
    allow 127.0.0.1;
    deny all;
    #设置IP白名单
    }
……

[root@adailinux ~]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@adailinux ~]# /usr/local/nginx/sbin/nginx -s reload

创建上面指定的目录:

[root@adailinux ~]# mkdir /data/wwwroot/test.com/admin

[root@adailinux ~]#  echo “test,test”>/data/wwwroot/test.com/admin/1.html

测试

[root@adailinux ~]# curl -x127.0.0.1:80  test.com/admin/1.html
“test,test”

[root@adailinux ~]# curl -x192.168.8.132:80  test.com/admin/1.html
“test,test”

访问控制——正则匹配

location ~ .*(abc|image)/.*\.php$
{
        deny all;
}

访问控制——user_agent限制

if ($http_user_agent ~ 'Spider/3.0|YoudaoBot|Tomato')
{
      return 403;
}

说明: deny all和return 403效果一样

12.15 Nginx解析PHP相关配置

核心配置:

vim /usr/local/nginx/conf/vhost/test.com.conf
……
location ~ \.php$
    {
        include fastcgi_params;
        #fastcgi_pass 127.0.0.1:9000
        fastcgi_pass unix:/tmp/php-fcgi.sock;
        ##fastcgi_pass两种监听格式,但是要保证Nginx和php-fpm中格式一致
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME /data/wwwroot/test.com$fastcgi_script_name;
    }
……

注: 在此注意两点,fastcgi_pass有两种格式,但是无论使用哪种格式都有保证Nginx和php-fpm中格式一致,否则会报错502;fastcgi _param SCRIPT _FILENAME所在行的路径要和root路径一致!

12.16 Nginx代理

Nginx代理是一种反向代理。反向代理(Reverse Proxy)方式是指以代理服务器来接受Internet上的连接请求,然后将请求转发给内部网络上的服务器;并将从服务器上得到的结果返回给Internet上请求连接的客户端,此时代理服务器对外就表现为一个服务器。

工作原理

Nginx代理是在一台代理服务器中自定义一个域名,该域名指向一个IP,然后将用户的请求通过这台代理服务器访问指定的IP所对应的web服务器。

graph LR
用户-->代理服务器
代理服务器-->用户
代理服务器-->web服务器
web服务器-->代理服务器

进入虚拟主机目录:

[root@adailinux ~]# cd /usr/local/nginx/conf/vhost/

创建代理服务器

[root@adailinux vhost]# vim proxy.conf
server
{
    listen 80;
    server_name ask.apelearn.com;
    #定义域名(一般和被代理ip的域名保持一致)
    location /
    {
        proxy_pass      http://121.201.9.155/;
        #指定被代理(被访问)的IP(web服务器IP)
        proxy_set_header Host   $host;
        #$host指的是代理服务器的servername(也是被代理IP的域名)
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

说明: 因为该虚拟主机只用作代理服务器,不需要访问本地文件,所以不需要设置根目录。

检测

设置代理前

[root@adailinux vhost]# curl -x127.0.0.1:80 ask.apelearn.com/robots.txt
<html>
<head><title>404 Not Found</title></head>
<body bgcolor="white">
<center><h1>404 Not Found</h1></center>
<hr><center>nginx/1.12.1</center>
</body>
</html>

设置代理后

[root@adailinux vhost]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@adailinux vhost]# /usr/local/nginx/sbin/nginx -s reload


[root@adailinux vhost]# curl -x127.0.0.1:80 ask.apelearn.com/robots.txt
#
# robots.txt for MiWen
#

User-agent: *

Disallow: /?/admin/
Disallow: /?/people/
Disallow: /?/question/
Disallow: /account/
Disallow: /app/
Disallow: /cache/

(adsbygoogle = window.adsbygoogle || []).push({});

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • nginx负载均衡、配置ssl 原

    Nginx负载均衡即为当代理服务器将自定义的域名解析到多个指定IP时,通过upstream来保证用户可以通过代理服务器正常访问各个IP。

    阿dai学长
  • Nginx安装、默认虚拟主机、用户认证、nginx中PHP解析

    对于LNMP来说,最常见的就是502问题,LNMP环境搭建完成后,一访问网站直接提示“502 Bad Gateway”。主要原因大致分为两种:

    阿dai学长
  • Apache和PHP的结合、虚拟主机 原

    Apache(httpd)的配置文件:/usr/local/apache2.4/conf/httpd.conf。

    阿dai学长
  • certbot+letsencrypt配置免费单证书多域名ssl证书

    前些天看到微信公众平台官方公告关于公众平台接口不再支持HTTP方式调用的公告之后决定把项目的协议从http改成https,于是开始在网上查,完成之后总结了一点经...

    lestat
  • PHP+jQuery实现双击修改table表格功能示例

    本文实例讲述了PHP+jQuery实现双击修改table表格功能。分享给大家供大家参考,具体如下:

    砸漏
  • Docker2 docker commit方法镜像制作

    Java帮帮
  • VLAN及Trunk,重要!看瑞哥如何讲的明明白白!

    对于一台二层交换机来说,缺省时整机的所有接口属于一个广播域。这意味着,只要连接到这个交换机的PC都配置在同一个IP子网内,即可直接进行互相访问,而且更重要的一点...

    网络技术联盟站
  • 你的密码保护问题真的安全吗?

    安全研究人员Elie Bursztein和Ilan Caron对Google用户使用的数以百万计的密码保护问题及答案进行了数据分析,研究结果表明,密码保护这种“...

    FB客服
  • git clone远程仓库的指定分支

    在本地创建该分支的文件夹,且只包含该远程仓库的该分支下所有文件,其他分支文件不会包含

    小菠萝测试笔记
  • Kubernetes之容器数据写满磁盘解决方法

    上面步骤操作完后(上面清理日志方法,可能对于收集日志程序会丢失一些日志,但一般情况能接受),可以选择驱赶节点上所有pod(kubectl drain ${nod...

    YP小站

扫码关注云+社区

领取腾讯云代金券