本文介绍了Nginx中的三个高级模块配置:随机索引模块ngx_http_random_index_module,真实IP模块ngx_http_realip_module及引用验证模块ngx_http_referer_module。随机索引模块能够随机选择目录中的文件作为索引;真实IP模块可以将客户端地址更改为指定头部字段;引用验证模块则用于阻止无效引用头的请求。
ngx_http_random_index_module
ngx_http_random_index_module 模块处理以 / 结尾的请求,然后随机选择目录中的一个文件作为索引文件展示,该模块优先于 ngx_http_index_module 之前处理。
该模块默认不会被构建到 nginx 中,需要在编译时加入 --with-http_random_index_module 配置参数启用。
配置示例
location / {
random_index on;
}
random_index
| - | 说明 |
|---|---|
| 语法 | random_index on | off; |
| 默认 | random_index off; |
| 上下文 | location |
启用或禁用 location 周边的模块处理。
原文档
ngx_http_realip_module
ngx_http_realip_module 模块用于将客户端地址和可选端口更改为发送的指定的头字段。
默认情况下不构建此模块,可在构建时使用 --with-http_realip_module 配置参数启用。
示例配置
set_real_ip_from 192.168.1.0/24;
set_real_ip_from 192.168.2.1;
set_real_ip_from 2001:0db8::/32;
real_ip_header X-Forwarded-For;
real_ip_recursive on;
指令
set_real_ip_from
| - | 说明 |
|---|---|
| 语法 | set_real_ip_from address | CIDR | unix:; |
| 默认 | —— |
| 上下文 | http、server、location |
定义已知可发送正确替换地址的可信地址。如果指定了特殊值 unix:,则所有 UNIX 域套接字都将受信任。也可以使用主机名(1.13.1)指定可信地址。
从 1.3.0 版本和 1.2.1 版本开始支持 IPv6 地址。
real_ip_header
| - | 说明 |
|---|---|
| 语法 | real_ip_header field | X-Real-IP | X-Forwarded-For | proxy_protocol; |
| 默认 | real_ip_header X-Real-IP; |
| 上下文 | http、server、location |
定义请求头字段,其值将用于替换客户端地址。
包含可选端口的请求头字段值也用于替换客户端端口(1.11.0)。 应根据 RFC 3986 指定地址和端口。
proxy_protocol 参数(1.5.12)将客户端地址更改为 PROXY 协议头中的地址。必须先通过在 listen 指令中设置 proxy_protocol 参数来启用 PROXY 协议。
real_ip_recursive
| - | 说明 |
|---|---|
| 语法 | real_ip_recursive on | off; |
| 默认 | real_ip_recursive off; |
| 上下文 | http、server、location |
| 提示 | 该指令在 1.3.0 版本和 1.2.1 版本中出现 |
如果禁用递归搜索,则匹配其中一个可信地址的原始客户端地址替换为 real_ip_header 指令定义的请求头字段中发送的最后一个地址。如果启用了递归搜索,则匹配其中一个可信地址的原始客户端地址替换为请求头字段中发送的最后一个非受信任地址。
内嵌变量
-
$realip_remote_addr原始客户端地址
-
$realip_remote_port原始客户端端口
原文档
http://nginx.org/en/docs/http/ngx_http_realip_module.html
ngx_http_referer_module
ngx_http_referer_module 模块用于阻止 Referer 头字段为无效值的请求访问站点。需记住的是,使用适当的 Referer 字段值来伪造请求非常容易,因此本模块的预期目的不是要彻底阻止此类请求,而是阻止常规浏览器发送的大量流量请求。还应该考虑到,即使是有效请求,常规浏览器也可能不发送 Referer 字段。
示例配置
valid_referers none blocked server_names
*.example.com example.* www.example.org/galleries/
~\.google\.;
if ($invalid_referer) {
return 403;
}
指令
referer_hash_bucket_size
| - | 说明 |
|---|---|
| 语法 | referer_hash_bucket_size size; |
| 默认 | referer_hash_bucket_size 64; |
| 上下文 | server、location |
设置有效引用哈希表的桶大小。设置哈希表的详细信息在单独的文档中提供。
referer_hash_max_size
| - | 说明 |
|---|---|
| 语法 | referer_hash_max_size size; |
| 默认 | referer_hash_max_size 2048; |
| 上下文 | server、location |
| 提示 | 该指令在 1.0.5 版本中出现 |
设置有效引用哈希表的最大 size。设置哈希表的详细信息在单独的文档中提供。
valid_referers
| - | 说明 |
|---|---|
| 语法 | valid_referers none | blocked | server_names | string ...; |
| 默认 | —— |
| 上下文 | server、location |
指定 Referer 请求头字段值将导致内嵌的 $invalid_referer 变量设置为空字符串。否则,变量将为 1。匹配搜索不区分大小写。
参数说明如下:
-
none请求头中缺少 Referer 字段
-
blockedReferer 字段出现在请求头中,但其值已被防火墙或代理服务器删除,这些值为不以
http://或https://开头的字符串 -
server_namesReferer 请求头字段包含一个服务器名称
-
任意字符串
定义一个服务器名称和一个可选的 URI 前缀。服务器名称的开头或结尾可以包含
*。在检查期间,Referer 字段中的服务器端口被忽略 -
正则表达式
第一个符号应为
〜。要注意的是,表达式只与http://或https://之后的文本匹配。
示例:
valid_referers none blocked server_names
*.example.com example.* www.example.org/galleries/
~\.google\.;
内嵌变量
-
$invalid_referer如果 Referer 请求头字段的值有效,则为空字符串,否则为 1。
扫一扫
1037
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
