0814防盗链访问控制代理

12.13 Nginx防盗链

?配置如下，可以和不记录日志和过期时间配置结合起来

location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$

{

expires 7d;

valid_referers none blocked server_names  *.test.com ;

#这里定义.test.com为白名单

if ($invalid_referer) {

return 403;

#这里表示如果不在白名单内直接回馈403

}

access_log off;

}

/usr/local/nginx/sbin/nginx -t

/usr/local/nginx/sbin/nginx -s reload

curl -I -e "http://www.baidu.com/1.txt" -x127.0.0.1:80  test.com/1.gif  显示403

curl -I -e "http://www.test.com/1.txt" -x127.0.0.1:80  test.com/1.gif     显示200

说明配置成功

12.14 Nginx访问控制

限制某些ip不能访问，或者只允许一部分访问

需要制作白名单，先allow写ip地址，再把其他ip全部限制deny all

配置如下：

location /admin/

{

allow 192.168.153.130;

allow 127.0.0.1;

deny all;

}

创建location指定的目录

? mkdir /data/wwwroot/test.com/admin/ (已经有了这个文件夹不用再建了)

? echo “test,test”>/data/wwwroot/test.com/admin/1.html

? -t && -s reload

? curl -x127.0.0.1:80 test.com/admin/1.html -I

? curl -x192.168.204.131:80 test.com/admin/1.html -I 这两个ip都可以访问到

上面配置ip也可以是ip段，就可以写成allow 192.168.153.0/24

如果只拒绝几个ip的访问就是

location /admin/

{

deny 192.168.188.1;

deny 192.168.8.8;

}

? 可以匹配正则来限制

网站被黑，数据库被盗窃，没有禁止上传图片的php解析

这样可以把访问的URL中带有abc或者image的字符串，并且为php请求的拒绝访问

location ~ .*(abc|image)/.*\.php$

{

deny all;

}

测试：

/usr/local/nginx/sbin/nginx -t

/usr/local/nginx/sbin/nginx -s reload

mkdir /data/wwwroot/test.com/abc

echo "111" > /data/wwwroot/test.com/abc/1.php

curl -x127.0.0.1:80 test.com/abc/1.php -I

结果为403拒绝访问

echo "111" > /data/wwwroot/test.com/abc/1.txt

curl -x127.0.0.1:80 test.com/abc/1.php -I

结果200可以访问，实验成功，禁止了abc的php解析

?根据user_agent限制，用的很多

需求：受到cc攻击，要禁掉百度蜘蛛，想做被隐藏的网站

if ($http_user_agent ~ ‘Spider/3.0|YoudaoBot|Tomato‘)

{

return 403;

}

这里~指匹配符号，只要有Spider/3.0或YoudaoBot或Tomato字符串的直接被拒绝，返回403

? deny all和return 403效果一样

实验：

/usr/local/nginx/sbin/nginx -t

/usr/local/nginx/sbin/nginx -s reload

模拟user_agent的方法：

-A 随意指定自己这次访问所宣称的自己的浏览器信息

curl -A “Tomatoabcabcabc”-x127.0.0.1:80 test.com/abc/1.txt

显示为403拒绝访问

如果关键词大小写有改动就恢复200，需要忽略大小写就~*（~后面加*）

12.15 Nginx解析php相关配置

?vim /usr/local/nginx/conf/vhost/test.com.conf配置如下：

location ~ \.php$

{

include fastcgi_params;

fastcgi_pass unix:/tmp/php-fcgi.sock; （此处错误出现502，找不到sock）

#fastcgi_pass 127.0.0.1:9000

#fastcgi_pass 两种监听格式，但是要保证Nginx和php-fpm中格式一致

fastcgi_index index.php;

fastcgi_param SCRIPT_FILENAME /data/wwwroot/test.com$fastcgi_script_name;

#这里的地址和最上面的root保持一致

}

? fastcgi_pass 用来指定php-fpm监听的地址或者socket

? php文件目录usr/local/php-fpm/var/php-fpm.log中sock地址要写到虚拟主机配置文件fastcgi_pass中

不监听sock换成监听ip和端口，两个配置文件修改后保持一致否则502，需要重启

netstart -lntp 查看监听端口

测试：

vim /data/wwwroot/test.com/3.php

写入<?php   phpinfo();

curl -x127.0.0.1:80  test.com/3.php   出现不能解析

配置后再次curl可以解析

502报错问题：

检查虚拟主机配置文件sock和php文件目录定义的sock是否一致

修改fastcgi_pass后报错502

nginx错误日志：cat /usr/local/nginx/logs/nginx_error.log

vim /usr/local/php-fpm/etc/php-fpm.conf 查看php文件目录定义的sock

修改为监听ip端口

查看端口是否监听

然后去修改虚拟主机配置文件

两边配置文件修改完成，这时curl -x127.0.0.1:80  test.com/3.php解析成功

此外502还有一种可能，php-fpm资源耗尽，查询很慢，解决为优化

12.16 Nginx代理

用户需要访问web服务器，需要找一个中间者，中间者与两面都互通，就能做一个代理者

中国到美国很慢，到香港快，香港到美国快，就可以通过香港代理访问美国服务器

创建新的配置文件

该虚拟主机只用作代理服务器，不需要访问本地文件，所以不需要设置站点根目录

? cd /usr/local/nginx/conf/vhost/

? vim proxy.conf //加入如下内容

server

{

listen 80;

server_name ask.apelearn.com;

location /

{

proxy_pass      http://121.201.9.155/;

#这里是告诉Nginx代理服务器，真正要被访问的web服务器ip是多少

proxy_set_header Host   $host;

#Host指的是要访问的域名servername，就是代理服务器真正访问的域名ask.apelearn.com

proxy_set_header X-Real-IP      $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

}

}

代理前后对比

curl -x127.0.0.1:80 ask.apelearn.com/robots.tx

显示为404

/usr/local/nginx/sbin/nginx -t

/usr/local/nginx/sbin/nginx -s reload

curl -x127.0.0.1:80 ask.apelearn.com/robots.txt

显示成功

这里测试是指通过本地ip访问到远程站点，这里设置的代理服务器是虚拟机，web服务器是阿铭论坛

出现代理需求就定义远程服务端，就是web服务器的ip

扩展

http://ask.apelearn.com/question/9109502问题汇总

http://blog.lishiming.net/?p=100location优先级