nginx访问控制

Posted 2023-04-08

实现拒绝10.0.0.0/8网段的访问,其它允许

参考技术A 环境

系统环境：CentOS6.7

nginx version: nginx/1.8.1
一、基于Basic Auth认证

Nginx提供HTTP的Basic Auth功能，配置了Basic Auth之后，需要输入正确的用户名和密码之后才能正确的访问网站。
我们使用htpasswd来生成密码信息，首先要安装httpd-tools，在httpd-tools中包含了htpasswd命令。
?

1

yum install -y httpd-tools

接下来我们就可以创建用户和密码了，例如创建一个loya的用户，执行命令：
?

1

htpasswd -c /opt/nginx/.htpasswd loya

按照提示输入两次密码之后就创建成功了，然后再修改Nginx的配置，编辑/opt/nginx/conf/vhosts/www.conf，在配置后面添加两行配置：
?

12345

server .... auth_basic "Restricted"; auth_basic_user_file /opt/nginx/.htpasswd;

reload nginx后生效
?

1

/opt/nginx/sbin/nginx -s reload

二、基于IP的访问控制

通过IP进行访问控制基于nginx模块ngx_http_access_module，
1.模块安装

nginx中内置ngx_http_access_module，除非编译安装时指定了–without-http_access_module，当然一般没人这么干吧。
2.指令
allow

语法: allow address | CIDR | unix: | all;

默认值: -

配置段: http, server, location, limit_except

允许某个ip或者一个ip段访问。如果指定unix:，那将允许socket的访问，unix在1.5.1才新加入。
deny

语法: deny address | CIDR | unix: | all;

默认值: -

配置段: http, server, location, limit_except

禁止某个ip或者一个ip段访问.如果指定unix:,那将禁止socket的访问，unix在1.5.1才新加入。
3.示例
?

1234567

location / deny 192.168.1.1;allow 192.168.1.0/24;allow 10.1.1.0/16;allow 2001:0db8::/32;deny all;

从上到下的顺序，类似iptables。匹配到了便跳出。如上的例子先禁止了192.16.1.1，接下来允许了3个网段，其中包含了一个ipv6，最后未匹配的IP全部禁止访问.
被deny的将返回403状态码。
总结
以上就是关于nginx访问控制的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流。谢谢大家对脚本之家的支持。

Nginx的访问控制

Nginx配置通过俩种途径支持基本访问权限的控制，一种是由HTTP标准模块ngx_http_access_module支持的，通过IP来判断客户端是否拥有对Nginx的访问权限。
基于IP的访问控制：
通过allow, deny命令设置是否允许/禁止允许访问的Nginx客户端IP。

        语法: allow ip地址 | CIDR  |all;
                   deny ip地址 | CIDR  |all;

                   #allow命令设置允许访问的客户端，deny命令设置禁止访问的客户端
                   #CIDR 客户端CIDR地址
                   #all 所以客户端

                   Nginx配置在解析的过程中，遇到deny或allow命令是按照顺序对当前客户端的连接进行访问权限检查的。如果遇到匹配的配置时，则停止继续向下搜索相关配置。

基于用户的basic认证配置：
Nginx还支持基于HTTP Authentication协议的认证。需要识别用户名和密码。
Nginx还支持基于HTTP Authentication协议的认证需要通过auth_basic和auth_basic_user_file命令来配置。

语法:
        auth_basic xxxx | off;
        开启或关闭该认证功能。
        #string 开启该认证功能，并配置验证时的提升信息。
        #off 关闭该功能
        auth_basic_user_file 文件路径;
        设置包含用户名和密码信息的文件路径。
            htpasswd命令创建用户账号文件；
            密码文件支持明文或密码加密后的文件。
            明文格式如下:
            用户名:密码

本文章整理自马哥linux及Nginx高性能web服务器详解，版权归原作者所有