一、访问控制限制只让某个ip访问:allow 192.168.1.100;deny all;限制只有本地地址可以访问,白名单;allow 127.0.0.1;deny all;拒绝本地访问,黑名单:deny 127.0.0.1;allow all;deny all 直接拒绝所有,下面的allow就不生效了。
禁止某个IP或者IP段访问站点的设置方法:1、首先建立下面的配置文件放在nginx的conf目录下面,命名为deny.ip
2、在nginx的配置文件nginx.conf中加入:include deny.ip;3、重启一下nginx的服务:/usr/local/nginx/sbin/nginx -s reload 就可以生效了。deny.ip 的格式中也可以用deny all; 如果你想实现这样的应用,除了几个IP外,其他全部拒绝,allow 1.1.1.1;allow 1.1.1.2;deny all;针对目录限制php解析:location ~ .*(diy|template|attachments|forumdata|attachment|image/.*\.php$ {deny all;}根据 user_agent 控制客户端访问location / {if ($http_user_agent ~ 'bingbot/2.0|MJ12bot/v1.4.2|Spider/3.0|YoudaoBot|Tomato|Gecko/20100315'){return 403;}}实验:限定IE7.0 和 curl 不能访问;IE8.0可以正常打开;location / {if ($http_user_agent ~ 'MSIE 7.0|curl'){return 403;}}curl -A 代表浏览器标识agent;模拟浏览器标识;测试包含bingbot/2.0,MSIE 7.0,curl的返回值为403;
二、nginx的rewrite应用现在有这样的的需求,访问 www.abc.com 请求到 www.abc.com/abc/在nginx虚拟主机配置文件中加入 :if ($document_uri !~ 'abc'){rewrite ^/(.*)$
http://www.abc.com/abc/$1 permanent;}而不是单独加一句rewrite ^/(.*)$
http://www.abc.com/abc/$1 permanent;如果只加rewrite 规则,而不限定条件,那么会造成死循环。会访问到
http://www.abc.com/abc/abc/abc/abc/....实验测试,只加一行rewrite规则,redirect 302 临时重定向;
使用curl测试跳转到
http://www.aaa.com/aaa/asdfasdfa;
浏览器输入
http://www.aaa.com/asdfasdfa 出现死循环网址;
加入if判断,域名不匹配aaa的时候跳转到aaa地址下;浏览器访问跳转正确,出现404错误是我们做实验没有这个目录;if ($document_uri !~ 'aaa'){rewrite ^/(.*)$ /aaa/$1 redirect;}
三、nginx代理配置/conf/vhosts/目录下,新建一个proxy.conf 写入下面的内容:
代理baidu.com,proxy_pass填写baidu的ip地址;#curl -x192.168.20.30:80
www.baidu.com 使用本地解析baidu.com 就可以访问百度的主页;dig命令查看baidu的别名和对应的ip地址;#dig
www.baidu.com;; ANSWER SECTION:
www.baidu.com. 1065 IN CNAMEwww.a.shifen.com.
www.a.shifen.com. 183 IN A 180.97.33.108
www.a.shifen.com. 183 IN A 180.97.33.107如果代理的机器有多台,可以实现负载均衡。bbb为自定义的内容;
