Nginx的deny和allow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块。
除非在安装时有指定 --without-http_access_module。
语法:allow/deny address | CIDR | unix: | all
它表示,允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问。 注意:unix在1.5.1中新加入的功能。
在nginx中,allow和deny的规则是按顺序执行的。示例1 location / { allow 192.168.0.0/24; allow 127.0.0.1; deny all; }说明:这段配置值允许192.168.0.0/24网段和127.0.0.1的请求,其他来源IP全部拒绝。
示例2: location ~ "admin" { allow 110.21.33.121; deny all }说明:访问的uri中包含admin的请求,只允许110.21.33.121这个IP的请求。
说明:针对/aming/目录,全部禁止访问,这里的deny all可以改为return 403.
示例2 location ~ ".bak|\.ht" { return 403; }说明:访问的uri中包含.bak字样的或者包含.ht的直接返回403状态码。
测试链接举例:
www.aminglinux.com/123.bakwww.aminglinux.com/aming/123/.htalskdjf 示例3 location ~ (data|cache|tmp|image|attachment).*\.php$ { deny all; }说明:请求的uri中包含data、cache、tmp、image、attachment并且以.php结尾的,全部禁止访问。
测试链接举例:
www.aminglinux.com/aming/cache/1.phpwww.aminglinux.com/image/123.phpswww.aminglinux.com/aming/datas/1.php说明:当请求的uri中包含/admin/时,直接返回403.
if结构中不支持使用allow和deny。测试链接:
www.aminglinux.com/123/admin/1.html 匹配www.aminglinux.com/admin123/1.html 不匹配www.aminglinux.com/admin.php 不匹配 示例2 if ($document_uri = /admin.php) { return 403; }说明:请求的uri为/admin.php时返回403状态码。
测试链接: 4. www.aminglinux.com/admin.php 匹配 5. www.aminglinux.com/123/admin.php 不匹配
示例3 if ($document_uri ~ '/data/|/cache/.*\.php$') { return 403; }说明:请求的uri包含data或者cache目录,并且是php时,返回403状态码。
测试链接: 6. www.aminglinux.com/data/123.php 匹配 7. www.aminglinux.com/cache1/123.php 不匹配
说明:\d{9,12}是正则表达式,表示9到12个数字,例如gid=1234567890就符号要求。
测试链接:
www.aminglinux.com/index.php?gid=1234567890&pid=111 匹配www.aminglinux.com/gid=123 不匹配 背景知识: 曾经有一个客户的网站cc攻击,对方发起太多类似这样的请求:/read-123405150-1-1.html 实际上,这样的请求并不是正常的请求,网站会抛出一个页面,提示帖子不存在。 所以,可以直接针对这样的请求,return 403状态码。说明:user_agent包含以上关键词的请求,全部返回403状态码。
测试:
curl -A “123YisouSpider1.0”curl -A “MJ12bot/v1.4.1”或者
if ($http_referer ~ 'baidu.com') { return 200 "<html><script>window.location.href='//$host$request_uri';</script></html>"; }该模块主要限制下载速度,针对每个IP的限速; $binary_remote_addr获取到IP作为一个参数;
并发限制配置示例
http { ... limit_conn_zone $binary_remote_addr zone=aming:10m; #这三句直接放到http里(nginx.conf); limit_conn_status 503; #限制时返回503; limit_conn_log_level error; #模块的错误日志级别; ... server { ... limit_conn aming 2; ... } }说明:首先用limit_conn_zone定义了一个内存区块索引aming,大小为10m,它以$binary_remote_addr作为key。 该配置只能在http里面配置,不支持在server里配置。
limit_conn 定义针对aming这个zone,并发连接为10个。在这需要注意一下,这个10指的是单个IP的并发最多为10个。
测试方式: 具体虚拟主机配置:
server { listen 80; server_name www.aaa.com; root /data/wwwroot/www.aaa.com/; index index.html; limit_conn aming 2; #并发数量为2; access_log /data/logs/aaa.log main; }使用ab压力测试,需要安装httpd使用;
yum install -y httpd ab -n 5 -c 5 http://www.aaa.com/tom.tar #命令后查看日志;-n是请求的数量,-c是并发数量; 日志结果:(由于上面并发数量为2,其他返回503;) 192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-" "192.168.87.141" 192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-" "192.168.87.141" 192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-" "192.168.87.141" 192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 200 9672042 "-" "ApacheBench/2.3" "-" "192.168.87.141" 192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 200 9672042 "-" "ApacheBench/2.3" "-" "192.168.87.141" 速度限制location ~ /download/ { … limit_rate_after 512k; limit_rate 150k; … }
说明:limit_rate_after定义当一个文件下载到指定大小(本例中为512k)之后开始限速; limit_rate 定义下载速度为150k/s。
注意:这两个参数针对每个请求限速。 ngx_http_limit_req_module
具体虚拟主机配置:
server { listen 80; server_name www.aaa.com; root /data/wwwroot/www.aaa.com/; index index.html; #limit_conn aming 2; limit_rate 10k; access_log /data/logs/aaa.log main; }设置后直接使用浏览器下载服务器目录里的文件,设置不同速度,需要的时间不一样。
该模块主要用来限制请求数。请求是连接后的发起的,一个连接可以有多个请求。
limit_req_zone语法: limit_req_zone $variable zone=name:size rate=rate; 默认值: none 配置段: http
设置一块共享内存限制域用来保存键值的状态参数。 特别是保存了当前超出请求的数量。
键的值就是指定的变量(空值不会被计算)。还是以IP作为参数,对每个IP请求数和请求速度作出限制; 如limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
说明: 区域名称为one,大小为10m,平均处理的请求频率不能超过每秒一次,键值是客户端IP。 使用$binary_remote_addr变量, 可以将每条状态记录的大小减少到64个字节,这样1M的内存可以保存大约1万6千个64字节的记录。 如果限制域的存储空间耗尽了,对于后续所有请求,服务器都会返回 503 (Service Temporarily Unavailable)错误。 rate速度可以设置为每秒处理请求数和每分钟处理请求数,其值必须是整数,所以如果你需要指定每秒处理少于1个的请求,2秒处理一个请求,可以使用 “30r/m”。
limit_req语法: limit_req zone=name [burst=number] [nodelay]; 默认值: — 配置段: http, server, location
设置对应的共享内存限制域和允许被处理的最大请求数阈值。
如果请求的频率超过了限制域配置的值,请求处理会被延迟,所以所有的请求都是以定义的频率被处理的。
超过频率限制的请求会被延迟,直到被延迟的请求数超过了定义的阈值,这时,这个请求会被终止,并返回503 (Service Temporarily Unavailable) 错误。 这个阈值的默认值为0。如: limit_req_zone $binary_remote_addr zone=aming:10m rate=1r/s; server { location /upload/ { limit_req zone=aming burst=5; } } 限制平均每秒不超过一个请求,同时允许超过频率限制的请求数不多于5个。
如果不希望超过的请求被延迟,可以用nodelay参数,马上返回503, 如: limit_req zone=aming burst=5 nodelay;
示例
http { limit_req_zone $binary_remote_addr zone=aming:10m rate=2r/s; #把这行放在http里; server { location ^~ /download/ { limit_req zone=aming burst=5; #生产中burst建议足够大; } } } 测试配置 server { listen 80; server_name www.aaa.com; root /data/wwwroot/www.aaa.com/; index index.html; limit_req zone=aming burst=5; access_log /data/logs/aaa.log main; } ab测试命令: ab -n 10 -c 10 www.aaa.com/tom.tar 日志结果: 发送了10个请求,六个200状态,4个503状态,除去第一个被处理的请示,同时处理了五个请求,余下超时返回503;