Nginx严格访问代理HTTP资源
2016-08-08 00:00
190 查看
摘要: Nginx 严格访问 代理HTTP资源
为了允许或拒绝从某个地址及或所有地址的访问,使用allow和deny指令:
location / {
deny 192.168.1.2;
allow 192.168.1.1/24;
allow 127.0.0.1;
deny all;
}
为了启用验证,使用auth_basic指令。用户要么输入有效的用户名和密码获取网站的访问。用户名和密码必须在auth_basic_user_file指令命名的文件中列出。
server {
...
auth_basic "closed website";
auth_basic_user_file conf/htpasswd;
}
你能让网站的一些区域没有验证即使你需要整个网站验证。在非验证区域配置块中,在auth_basic指令中包括off参数取消继承外部配置级别设置。例如,限制整个网站访问,但有些位置可以公开:
server {
...
auth_basic "closed website";
auth_basic_user_file conf/htpasswd;
location /public/ {
auth_basic off;
}
}
为了联合IP地址和验证,使用satisfy指令。默认,设置为all,因此客户端满足这两种类型的条件授予访问权限。当satisfy指令设置为any,至少满足一个条件授予访问权限。因此,如果IP地址是允许的,未验证的用户可以访问,反之亦然。
location / {
satisfy any;
allow 192.168.1.0/24;
deny all;
auth_basic "closed site";
auth_basic_user_file conf/htpasswd;
}
每个键值的连接数(例如,每个IP地址)
每个键值请求速率(在1秒/分钟期间允许处理的请求数)
连接的下载速度
注意,IP地址能在NAT设备后共享,因此通过IP地址应该是明智的。
limit_conn_zone $binary_remote_address zone=addr:10m;
第二,使用limit_conn指令应用location虚拟服务器或整个http上下文的限制。指定共享内存区域的名字作为第一个参数,允许每个键的连接作为第二个参数。
location /download/ {
limit_conn addr 1;
}
连接数在IP地址基础上的限制,因为$binary_remote_address变量用作键。通过使用$server_name变量限制指定服务器连接数:
http {
limit_conn_zone $server_name zone=servers:10m;
server {
limit_conn servers 1000;
}
}
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
rate参数能指定每秒的请求数(r/s)或没分钟的请求数(r/m)。
一旦定义共享内存区域,使用limit_req指令在虚拟服务器或location(或全局,如果需要)为了限制请求速度:
location /search/ {
limit_req zone=one burst=5;
}
如果速率超过限制,请求被放入队列延迟处理。burst参数设置等待处理的最大请求数。超过burst限制的请求Nginx响应503错误。
如果burst期间不需要延迟,添加nodelay参数。
limit_req zone=one burst=5 nodelay;
location /download/ {
limit_rate 50k;
}
使用该设置,客户端将能够通过单个连接下载内容速度最大为每秒50千字节。然而,客户端打开各种连接。因此,如果目标是组织下载速度大于指定值,连接的数量也应该限制。例如,每个IP地址一个连接(如果共享区域使用上面指定的):
location /download/ {
limit_conn addr 1;
limit_rate 50k;
}
为了只在客户端下载某一数据之后利用限制,使用limit_rate_after指令。合理允许客户端快速下载某些数据(例如,文件头——电影索引),限制下载剩下数据的速率(让用户看电影,不下载)。
limit_rate_after 500k;
limit_rate 20k;
下面例子显示连接数和带宽限制联合配置。每个客户端地址允许最大连接数为5,适合现代浏览器打开同时打开三个连接的情况。与此同时,服务下载的location只允许一个连接:
http {
limit_conn_zone $binary_remote_address zone=addr:10m
server {
root /www/data;
limit_conn addr 5;
location / {
}
location /download/ {
limit_conn addr 1;
limit_rate 1m;
limit_rate 50k;
}
}
}
1 严格访问
访问能基于客户端的IP地址允许或拒绝或使用基于HTTP验证。为了允许或拒绝从某个地址及或所有地址的访问,使用allow和deny指令:
location / {
deny 192.168.1.2;
allow 192.168.1.1/24;
allow 127.0.0.1;
deny all;
}
为了启用验证,使用auth_basic指令。用户要么输入有效的用户名和密码获取网站的访问。用户名和密码必须在auth_basic_user_file指令命名的文件中列出。
server {
...
auth_basic "closed website";
auth_basic_user_file conf/htpasswd;
}
你能让网站的一些区域没有验证即使你需要整个网站验证。在非验证区域配置块中,在auth_basic指令中包括off参数取消继承外部配置级别设置。例如,限制整个网站访问,但有些位置可以公开:
server {
...
auth_basic "closed website";
auth_basic_user_file conf/htpasswd;
location /public/ {
auth_basic off;
}
}
为了联合IP地址和验证,使用satisfy指令。默认,设置为all,因此客户端满足这两种类型的条件授予访问权限。当satisfy指令设置为any,至少满足一个条件授予访问权限。因此,如果IP地址是允许的,未验证的用户可以访问,反之亦然。
location / {
satisfy any;
allow 192.168.1.0/24;
deny all;
auth_basic "closed site";
auth_basic_user_file conf/htpasswd;
}
2 限制访问
可以限制:每个键值的连接数(例如,每个IP地址)
每个键值请求速率(在1秒/分钟期间允许处理的请求数)
连接的下载速度
注意,IP地址能在NAT设备后共享,因此通过IP地址应该是明智的。
2.1 限制连接数
为了限制连接数,首先使用limit_conn_zone指令定义键并设置共享内存区域参数(worker进程将使用该区域共享键值计数器)。作为第一个参数,指定表达式计算为键。第二个参数,指定区域的名字和大小。limit_conn_zone $binary_remote_address zone=addr:10m;
第二,使用limit_conn指令应用location虚拟服务器或整个http上下文的限制。指定共享内存区域的名字作为第一个参数,允许每个键的连接作为第二个参数。
location /download/ {
limit_conn addr 1;
}
连接数在IP地址基础上的限制,因为$binary_remote_address变量用作键。通过使用$server_name变量限制指定服务器连接数:
http {
limit_conn_zone $server_name zone=servers:10m;
server {
limit_conn servers 1000;
}
}
2.2 限制请求速率
为了限制请求速率,首先设置键和共享内存区域保存计数器。limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
rate参数能指定每秒的请求数(r/s)或没分钟的请求数(r/m)。
一旦定义共享内存区域,使用limit_req指令在虚拟服务器或location(或全局,如果需要)为了限制请求速度:
location /search/ {
limit_req zone=one burst=5;
}
如果速率超过限制,请求被放入队列延迟处理。burst参数设置等待处理的最大请求数。超过burst限制的请求Nginx响应503错误。
如果burst期间不需要延迟,添加nodelay参数。
limit_req zone=one burst=5 nodelay;
2.3 限制带宽
为了限制每个连接的带宽,使用limit_rate指令:location /download/ {
limit_rate 50k;
}
使用该设置,客户端将能够通过单个连接下载内容速度最大为每秒50千字节。然而,客户端打开各种连接。因此,如果目标是组织下载速度大于指定值,连接的数量也应该限制。例如,每个IP地址一个连接(如果共享区域使用上面指定的):
location /download/ {
limit_conn addr 1;
limit_rate 50k;
}
为了只在客户端下载某一数据之后利用限制,使用limit_rate_after指令。合理允许客户端快速下载某些数据(例如,文件头——电影索引),限制下载剩下数据的速率(让用户看电影,不下载)。
limit_rate_after 500k;
limit_rate 20k;
下面例子显示连接数和带宽限制联合配置。每个客户端地址允许最大连接数为5,适合现代浏览器打开同时打开三个连接的情况。与此同时,服务下载的location只允许一个连接:
http {
limit_conn_zone $binary_remote_address zone=addr:10m
server {
root /www/data;
limit_conn addr 5;
location / {
}
location /download/ {
limit_conn addr 1;
limit_rate 1m;
limit_rate 50k;
}
}
}
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Nginx 限制访问 - 对代理 HTTP 资源限制访问
- CentOS6.3搭建Nginx代理访问MongoDB GridFS图片资源
- Nginx限制访问代理TCP资源
- CentOS6.3搭建Nginx代理访问MongoDB GridFS图片资源
- 第十一节——限制访问代理的HTTP资源
- CentOS6.3搭建Nginx代理访问MongoDB GridFS图片资源(已经验证-不错)
- 记一个http-proxy-middleware 代理访问nginx映射的接口不通过的问题(connection close)
- nginx反向代理服务因配置文件错误导致访问资源时出现404
- 阿里 SLB +nginx 基于$http_x_forwarded_for 代理IP 访问控制
- Linux下搭建Nginx代理访问MongoDB GridFS图片资源
- nginx反向代理服务,因配置文件错误导致访问资源时出现404
- Nginx 限制访问 - 限制对代理TCP资源的访问
- 客户端在浏览网站时收到“HTTP 403.4 - 禁止访问:需要使用 SSL 查看该资源”错误,但是网站没有配置为使用 SSL
- Nginx HTTP负载均衡/反向代理的相关参数测试
- HTTP 403.4 - 禁止访问:需要使用 SSL 查看该资源”错误
- java通过代理访问http
- WebService(C#)代理访问外网及报错“请求因 HTTP 状态 407 失败”解决方案
- HttpClient4基础1--通过匿名代理访问网页
- 访问需要HTTP Basic Authentication认证的资源的各种语言的实现
- 访问需要HTTP Basic Authentication认证的资源的各种语言的实现