Nginx防盗链
1、[root@centos7 test.com]# vi /usr/local/nginx/conf/vhost/test.com.conf
#+表示1或者多个,+前面的字符
location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$
{
expires 7d;
valid_referers none blocked server_names *.test.com ;
#定义referer白名单
if ($invalid_referer) {
return 403;
#if函数的意思是:如果不是白名单内的域名,返回值:403
}
access_log off;
}
验证:
curl -e:指定referer链接
[root@centos7 test.com]# curl -e "http://123123asdsd.test.com/asdas" -x127.0.0.1:80 -I test.com/baidu.png
HTTP/1.1 200 OK
Server: nginx/1.12.1
使用非白名单内的referer进行访问,被拒绝。
Nginx访问控制
需求:访问admin目录,只能允许几个指定IP可以访问,其他禁止
1、[root@centos7 test.com]# vim /usr/local/nginx/conf/vhost/test.com.conf
server
{
listen 80;
server_name test.com test2.com test3.com;
index index.html index.htm index.php;
access_log /tmp/test.com.log combined_realip;
root /data/wwwroot/test.com;
location /admin/
{
allow 192.168.3.74;
allow 127.0.0.1;
deny all;
#从上至下的执行权限
}
验证:
[root@centos7 test.com]# curl -x127.0.0.1:80 test.com/admin/admin.html
“admin root”
[root@centos7 test.com]# curl -x192.168.3.74:80 test.com/admin/admin.html
“admin root”
Nginx访问控制
可以匹配正则
location ~ .*(abc|image)/.*\.php$
{
deny all;
}
根据user_agent限制
if ($http_user_agent ~ 'Spider/3.0|YoudaoBot|Tomato')
{
return 403;
}
deny all和return 403效果一样
Nginx解析php相关配置
location ~ \.php$
#匹配以php结尾的文件
{
include fastcgi_params;
fastcgi_pass unix:/tmp/php-fcgi.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /data/wwwroot/test.com$fastcgi_script_name;
#这里的路径要和root路径一致
}
Nginx代理
工作模式:比如当用户访问真实主机192.168.1.100:8080时,不直接访问,通过nginx代理http://test.com访问,然后nginx跳转到真实主机上去,实现了nginx代理访问
1、
[root@centos7 vhost]# vi /usr/local/nginx/conf/vhost/tomcat.conf
server
{
listen 80;
server_name www.test-tomcat.com;
#定义域名
location /
{
proxy_pass http://192.168.3.83:8080;
#指定被代理(被访问)的IP(web服务器IP)
proxy_set_header Host $host;
#$host指的是代理服务器的servername(也是被代理IP的域名)
proxy_set_header X-Real-IP $remote_addr;
#这个是在web端获取真实的IP,其中这个X-Real-IP是一个自定义的变量名,名字可以随意取
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
验证是否跳转:
