Nginx禁止通过IP访问,允许域名访问
- 1. 背景
- 2. 现状
- 3. 问题分析
- 3.1. 多域名
- 3.2. 多监听
- 4. Nginx版本
- 5. 实现方案
- 5.1. 传统方式
- 5.2. 正则方式
- 6. 正则
1. 背景
近期因为信息安全方面的要求,安全部门提出我们的对公服务,要屏蔽来自 IP 地址的访问。我们接到这个需求,分析出要在反向代理服务器上设置禁止通过 IP 地址来访问服务,只允许通过域名的访问。
2. 现状
因为我们的对公服务域名有多个,而且域名,因为当初建设过程中,没考虑冗余,都配置成同城同机房一组外网服务器进行转发,所以这些域名都对应同一个公网 IP 。
3. 问题分析
提前补充一点网络的小知识,通过IP访问 与 通过 域名访问的区别就在于 HTTP 请求头信息中的 Host 值。我们在反向代理软件中,只要校验 Host 属性与我们自身域名不相同,则直接给我们的错误代码。
- 域名访问
- IP访问
3.1. 多域名
我们域名比较多,但是 Nginx 的 Lua 语法不支持多重判断。所这里这里可以使用多个条件语句。
3.2. 多监听
此处没法绕过,只能挨个 server 配置,如果有更好的办法,欢迎请在留言处指明。
4. Nginx版本
此次演示是基于 1.21.6 的版本来操作。
-rwxrwxr-x 1 kejie kejie 6133152 Jun 10 20:28 nginx
[kejie@portal-apptest8 sbin]$ ./nginx -v
nginx version: nginx/1.21.65. 实现方案
由于 Nginx 语法特殊性,写法也有不同,下来主要就两种方式来说明实现方案。
5.1. 传统方式
Nginx 通过 $host 来获取 HTTP 中的 Host 属性,对 $host 内容进行判定即可。
http {include mime.types;default_type application/octet-stream;sendfile on;keepalive_timeout 65;server {listen 80;server_name _;set $flag 0;if ($host ~* ^cia* ) {set $flag "1${flag}";}if ($host ~* ^mo* ) {set $flag "1${flag}";}if ($flag !~* ^1* ) {return 403;}}
}这种方式,就是堆叠 if 语句,客观性和拓展性不够好。适用于临时应急方案。
5.2. 正则方式
既然传统方式不够友好,那需要考虑其他实现方案。通过观察,我们域名都有一定的特点,如后缀都是 cia.com.cn 。所以这里考虑使用正则表达式。
只要是 server_name 中的域名都是以 cia.com.cn 结尾的都是放行,最终配置如下:
http {include mime.types;default_type application/octet-stream;sendfile on;keepalive_timeout 65;server {listen 80;server_name ~^(.+).cia.com.cn$;;}
}本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!