2. it
  3. 20191031Nginx访问控制

20191031Nginx访问控制

mac2024-04-09  41

Nginx访问控制 —— deny_allow

Nginx的deny和allow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块。 除非在安装时有指定 --without-http_access_module。

语法

语法:allow/deny address | CIDR | unix: | all 它表示,允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问。 注意:unix在1.5.1中新加入的功能。 在nginx中,allow和deny的规则是按顺序执行的。

示例

示例1: location / { allow 192.168.0.0/24; allow 127.0.0.1; deny all; } 说明:这段配置值允许192.168.0.0/24网段和127.0.0.1的请求,其他来源IP全部拒绝。 示例2: location ~ "admin" { allow 110.21.33.121; deny all } 说明:访问的uri中包含admin的请求,只允许110.21.33.121这个IP的请求。

不论任何IP 都会403

修改配置文件添加IP

添加网段

 

基于location的访问控制

在生产环境中,我们会对某些特殊的请求进行限制,比如对网站的后台进行限制访问。 这就用到了location配置。

示例1

location /aming/ { deny all; } 说明:针对/aming/目录,全部禁止访问,这里的deny all可以改为return 403.

示例2

location ~ ".bak|\.ht" { return 403; } 说明:访问的uri中包含.bak字样的或者包含.ht的直接返回403状态码。 测试链接举例: 1. www.aminglinux.com/123.bak 2. www.aminglinux.com/aming/123/.htalskdjf

示例3

location ~ (data|cache|tmp|image|attachment).*\.php$ { deny all; } 说明:请求的uri中包含data、cache、tmp、image、attachment并且以.php结尾的,全部禁止访问。 测试链接举例: 1. www.aminglinux.com/aming/cache/1.php 2. www.aminglinux.com/image/123.phps 3. www.aminglinux.com/aming/datas/1.php

 HTML结尾不会拒绝

 

Nginx基于$document_uri的访问控制

https://coding.net/u/aminglinux/p/nginx/git/blob/master/access/document_uri.md

这就用到了变量$document_uri,根据前面所学内容,该变量等价于$uri,其实也等价于location匹配。

示例1

if ($document_uri ~ "/admin/") { return 403; } 说明:当请求的uri中包含/admin/时,直接返回403. if结构中不支持使用allow和deny。 测试链接: 1. www.aminglinux.com/123/admin/1.html 匹配 2. www.aminglinux.com/admin123/1.html 不匹配 3. www.aminglinux.com/admin.php 不匹配

示例2

if ($document_uri = /admin.php) { return 403; } 说明:请求的uri为/admin.php时返回403状态码。 测试链接: 1. www.aminglinux.com/admin.php 匹配 2. www.aminglinux.com/123/admin.php 不匹配

示例3

if ($document_uri ~ '/data/|/cache/.*\.php$') { return 403; } 说明:请求的uri包含data或者cache目录,并且是php时,返回403状态码。 测试链接: 1. www.aminglinux.com/data/123.php 匹配 2. www.aminglinux.com/cache1/123.php 不匹配

 

nginx基于$request_uri访问控制

https://coding.net/u/aminglinux/p/nginx/git/blob/master/access/request_uri.md

$request_uri比$docuemnt_uri多了请求的参数。 主要是针对请求的uri中的参数进行控制。

示例

if ($request_uri ~ "gid=\d{9,12}") { return 403; } 说明:\d{9,12}是正则表达式,表示9到12个数字,例如gid=1234567890就符号要求。 测试链接: 1. www.aminglinux.com/index.php?gid=1234567890&pid=111 匹配 2. www.aminglinux.com/gid=123 不匹配 背景知识: 曾经有一个客户的网站cc攻击,对方发起太多类似这样的请求:/read-123405150-1-1.html 实际上,这样的请求并不是正常的请求,网站会抛出一个页面,提示帖子不存在。 所以,可以直接针对这样的请求,return 403状态码。

gid 数字大于等于9-12个数字就会匹配

含有字母不会匹配

nginx访问控制-基于user_agent

https://coding.net/u/aminglinux/p/nginx/git/blob/master/access/user_agent.md

Nginx基于$user_agent的访问控制

user_agent大家并不陌生,可以简单理解成浏览器标识,包括一些蜘蛛爬虫都可以通过user_agent来辨识。 通过观察访问日志,可以发现一些搜索引擎的蜘蛛对网站访问特别频繁,它们并不友好。 为了减少服务器的压力,其实可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬虫全部封掉。 另外,一些cc攻击,我们也可以通过观察它们的user_agent找到规律。  

示例

if ($user_agent ~ 'YisouSpider|MJ12bot/v1.4.2|YoudaoBot|Tomato') { return 403; } 说明:user_agent包含以上关键词的请求,全部返回403状态码。 测试: 1. curl -A "123YisouSpider1.0" 2. curl -A "MJ12bot/v1.4.1"

 

命令本身带有curl 

使用-A 模拟包含 curl

包含spider

 

Nginx基于$http_referer的访问控制

https://coding.net/u/aminglinux/p/nginx/git/blob/master/access/referer.md

在前面讲解rewrite时,曾经用过该变量,当时实现了防盗链功能。 其实基于该变量,我们也可以做一些特殊的需求。 示例

背景:网站被黑挂马,搜索引擎收录的网页是有问题的,当通过搜索引擎点击到网站时,却显示一个博彩网站。 由于查找木马需要时间,不能马上解决,为了不影响用户体验,可以针对此类请求做一个特殊操作。 比如,可以把从百度访问的链接直接返回404状态码,或者返回一段html代码。 if ($http_referer ~ 'baidu.com') { return 404; } 或者 if ($http_referer ~ 'baidu.com') { return 200 "<html><script>window.location.href='//$host$request_uri';</script></html>"; }

演示

 

使用-e 模拟referer 

加入不区分大小写

 

nginx访问控制-限速

Nginx的限速

https://coding.net/u/aminglinux/p/nginx/git/blob/master/access/limit.md

可以通过ngx_http_limit_conn_module和ngx_http_limit_req_module模块来实现限速的功能。

ngx_http_limit_conn_module

该模块主要限制下载速度。

1. 并发限制

配置示例 http { ... limit_conn_zone $binary_remote_addr zone=aming:10m; ... server { ... limit_conn aming 10; ... } } 说明:首先用limit_conn_zone定义了一个内存区块索引aming,大小为10m,它以$binary_remote_addr作为key。 该配置只能在http里面配置,不支持在server里配置。 limit_conn 定义针对aming这个zone,并发连接为10个。在这需要注意一下,这个10指的是单个IP的并发最多为10个。

编辑nginx配置文件http部分

打开虚拟主机文件

使用ab工具压力测试

绑定hosts

清空日志

-n 访问5次

-c 并发5次 

 

日志记录访问5次实际并发只有2次

修改并发数为3 后再测试,日志记录访问5次实际并发3次

 

 

2. 速度限制

location ~ /download/ { ... limit_rate_after 512k; limit_rate 150k; ... } 说明:limit_rate_after定义当一个文件下载到指定大小(本例中为512k)之后开始限速; limit_rate 定义下载速度为150k/s。 注意:这两个参数针对每个请求限速。

测下载速度

nginx配置文件不变

虚拟机配置文件  limit_rate  去掉注释启动

编写win端hosts文件 使用浏览器测试

 

ngx_http_limit_req_module

该模块主要用来限制请求数。

1. limit_req_zone

语法: limit_req_zone $variable zone=name:size rate=rate; 默认值: none 配置段: http 设置一块共享内存限制域用来保存键值的状态参数。 特别是保存了当前超出请求的数量。 键的值就是指定的变量(空值不会被计算)。 如limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; 说明:区域名称为one,大小为10m,平均处理的请求频率不能超过每秒一次,键值是客户端IP。 使用$binary_remote_addr变量, 可以将每条状态记录的大小减少到64个字节,这样1M的内存可以保存大约1万6千个64字节的记录。 如果限制域的存储空间耗尽了,对于后续所有请求,服务器都会返回 503 (Service Temporarily Unavailable)错误。 速度可以设置为每秒处理请求数和每分钟处理请求数,其值必须是整数, 所以如果你需要指定每秒处理少于1个的请求,2秒处理一个请求,可以使用 “30r/m”。

 

2. limit_req

语法: limit_req zone=name [burst=number] [nodelay]; 默认值: — 配置段: http, server, location 设置对应的共享内存限制域和允许被处理的最大请求数阈值。 如果请求的频率超过了限制域配置的值,请求处理会被延迟,所以所有的请求都是以定义的频率被处理的。 超过频率限制的请求会被延迟,直到被延迟的请求数超过了定义的阈值, 这时,这个请求会被终止,并返回503 (Service Temporarily Unavailable) 错误。 这个阈值的默认值为0。如: limit_req_zone $binary_remote_addr zone=aming:10m rate=1r/s; server { location /upload/ { limit_req zone=aming burst=5; } } 限制平均每秒不超过一个请求,同时允许超过频率限制的请求数不多于5个。 如果不希望超过的请求被延迟,可以用nodelay参数,如: limit_req zone=aming burst=5 nodelay;

示例

http { limit_req_zone $binary_remote_addr zone=aming:10m rate=1r/s; server { location ^~ /download/ { limit_req zone=aming burst=5; } } }

修改nginx.conf配置文件

加入limit_req_zone $binary_remote_addr zone=aming1:10m rate=2r/s;

虚拟主机里加入limit_req zone=aming burst=5 nodelay;

测试

第一个请求已经处理 剩下的排队 限制并发5个剩下的503

burst 设置数越大占用的内存就越多500个是没问题

nodelay;字面上解释不进行延迟

限制并发时依然有503

nodelay 与reate功能上有些冲突生产时 不建议开启nodelay

 

设定白名单IP

如果是针对公司内部IP或者lo(127.0.0.1)不进行限速,如何做呢?这就要用到geo模块了。 假如,预把127.0.0.1和192.168.100.0/24网段设置为白名单,需要这样做。 在http { }里面增加: geo $limited { default 1; 127.0.0.1/32 0; 192.168.100.0/24 0; } map $limited $limit { 1 $binary_remote_addr; 0 ""; } 原来的 “limit_req_zone $binary_remote_addr ” 改为“limit_req_zone $limit” 完整示例: http { geo $limited { default 1; 127.0.0.1/32 0; 192.168.100.0/24 0; } map $limited $limit { 1 $binary_remote_addr; 0 ""; } limit_req_zone $limit zone=aming:10m rate=1r/s; server { location ^~ /download/ { limit_req zone=aming burst=5; } } }

 

最新回复(0)