文章目录[隐藏]
一、根据扩展名限制程序和文件访问
配置nginx,禁止解析指定目录下的指定程序,若要允许某个目录,在添加允许即可(必须写在处理php前面)。
location ~ ^/images/.*\.(php|php5|sh|pl|py)$ { deny all; } location ~ ^/static/.*\.(php|php5|sh|pl|py)$ { deny all; } location ~ ^/data/(attachment|avatar).*\.(php|php5)$ { deny all; }
nginx下配置禁止访问*.txt和*.doc文件
放置在server标签内: location ~* \.(txt|doc)$ { if (-f $request_filename) { root /data/www/www; rewrite ^(.*) https://www.725u.com/ break; #可以重定向到某个URL; } } location ~* \.(txt|doc)$ { root /data/www/www; deny all; }
禁止访问的文件或目录
#禁止访问的文件或目录 location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md) { return 404; }
排除某个目录不受上面限制:
location ~ \.well-known{ allow all; }
二、禁止访问指定目录下的所有文件和目录
禁止访问单个目录的命令如下:
location ~ ^/(static)/ { deny all; } location ~ ^/static { deny all; }
禁止访问多个目录的配置如下:
location ~ ^/(static|js) { deny all; }
禁止访问目录并返回指定的http状态码,配置如下:
server { listen 80; server_name www.dmtest.com; location / { root html; index index.php index.html index.htm; } location /admin/ { return 404; } #访问admin目录返回404; location /templates/ { return 403; } #访问templates目录返回403 location ~ ^/images/.*\.(php|php5|sh|pl|py)$ { deny all; }
三、限制网站来源IP访问
禁止目录让外界访问,但允许某IP访问该目录且支持PHP解析,配置如下:
在server标签内配置如下: location ~ ^/mysql_loging/ { allow 192.168.0.4; deny all; } location ~ .*\.(php|php5)?$ { fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; include fastcgi_params; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; } 说明:该配置只允许192.168.0.4IP访问mysql_loging目录
location ~ ^/test/(test1).*\.(php|php5|txt)$ { allow 118.114.245.50; deny all; location ~ .*\.(php|php5)?$ { try_files $uri =404; fastcgi_pass unix:/tmp/php-cgi-56.sock; fastcgi_index index.php; include fastcgi.conf; include pathinfo.conf; } } 只允许该ip访问test1下的php文件,需要注意的是,在这个location下也得加入php解析相关的配置,否则php文件无法解析
限制IP或IP段访问,配置如下:
添加在server标签内: location / { deny 192.168.0.4; allow 192.168.1.0/16; allow 10.0.0.0/24; deny all; } 说明:此限制是对某些IP做整个网站的限制访问。
nginx做反向代理的时候也可以限制客户端IP,具体如下:
方法1:使用if来控制,配置如下:
if ( $remoteaddr = 10.0.0.7 ) { return 403; } if ( $remoteaddr = 218.247.17.130 ) { set $allow_access_root 'ture'; }
方法2:利用deny和allow只允许IP访问,配置如下:
location / { root html/blog; index index.php index.html index.htm; allow 10.0.0.7; deny all; }
方法3:只拒绝某些IP访问,配置如下:
location / { root html/blog; index indx.php index.html index.htm; deny 10.0.0.7; allow all; }
禁止某ip段访问并向浏览器输出一段文字(若有乱码,请在server中添加:charset utf-8;):
if ($remote_addr ~* ^211\.149\.(.*?)\.(.*?)$){ return 555 "此时此刻,让我们拥抱对方,感受对方的温暖,做一对苦命鸳鸯吧!"; }
注意事项:
deny一定要加一个IP,否者会直接跳转到403,不在往下执行了,如果403默认页在同一域名下,会造成死循环访问。
对于allow的IP段,从允许访问的段位从小到大排列,如127.0.0.0/24的下面才能是10.10.0.0/16,其中:
24表示子网掩码:255.255.255.0
16表示子网掩码:255.255.0.0
8表示子网掩码:255.0.0.0
以deny all; 结尾,表示除了上面允许的,其他的都禁止。如:
deny 192.168.1.1;
allow 127.0.0.0/24;
allow 192.168.0.0/16;
allow 10.10.0.0/8;
deny all;
四、配置nginx,禁止非法域名解析访问企业网站
方法1:让使用IP访问网站的用户,或恶意解析域名的用户,收到501错误,配置如下:
server { listen 80 default_server; server_name _; return 501; }
方法2:通过301跳转主页,配置如下:
server { listen 80 default_server; server_name _; rewrite ^(.*) http://www.725u.com/$1 permanent; }
方法3:发现某域名恶意解析到公司的服务器IP,在server标签里添加以下代码即可,若有多个server要多处添加。
if ($host !~ ^www/.tag/.com$) { rewrite ^(.*) http://www.725u.com$1 permanent; }
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。