Nginx防盗链、访问控制、解析php相关配置、Nginx代理

一、Nginx防盗链

1. 编辑虚拟主机配置文件

vim /usr/local/nginx/conf/vhost/test.com.conf

2. 在配置文件中添加如下的内容

{

    expires 7d;

    valid_referers none blocked server_names  * .test.com ;

    if ($invalid_referer) {

        return 403;

    }

    access_log off;

   }

3. 更改配置文件后需要检查配置文件以及重新加载

/usr/local/nginx/sbin/nginx -t

/usr/local/nginx/sbin/nginx -s reload

4. 进行测试，伪造一个referer进行访问图片，显示403

[root@localhost ~]# curl -e "http://www.qq.com/ee.txt" ; -x127.0.0.1:80 -I test.com/1.gif

HTTP/1.1 403 Forbidden

Server: nginx/1.12.1

Date: Thu, 15 Mar 2018 22:17:22 GMT

Content-Type: text/html

Content-Length: 169

Connection: keep-alive

二、 Nginx访问控制

针对目录进行访问控制

1. 编辑虚拟主机配置文件

vim /usr/local/nginx/conf/vhost/test.com.conf

2. 在配置文件中添加如下内容

---

location /admin/

    {

      allow 127.0.0.1;

      allow 192.168.177.7;

      deny all;    

     }

---

只允许 127.0.0.1和 192.168.177.7这两个IP访问，其它的全部deny

3. 进行测试，使用192.168.150.1 显示403，使用192.168.177.7则成功访问

[root@localhost ~]# curl -x 192.168.150.1:80 test.com/admin

<html>

<head><title>403 Forbidden</title></head>

<body bgcolor="white">

<center><h1>403 Forbidden</h1></center>

<hr><center>nginx/1.12.1</center>

</body>

</html>

[root@localhost ~]# curl -x 192.168.177.7:80 test.com/admin/ -I

HTTP/1.1 200 OK

Server: nginx/1.12.1

Date: Thu, 15 Mar 2018 22:33:18 GMT

Content-Type: text/html

Content-Length: 11

Last-Modified: Wed, 14 Mar 2018 00:25:19 GMT

Connection: keep-alive

ETag: "5aa86bef-b"

Accept-Ranges: bytes

---

使用正则匹配进行访问控制，当匹配到upload或者image的php相关操作时deny

location ~ .*(upload|image)/.*\.php$

     {

        deny all;

     }

---

根据user_agent限制

if ($http_user_agent ~ 'Spider/3.0|baidu|qq')

     {

      return 403;

     }

三、Nginx解析php相关配置

1. 编辑虚拟主机配置文件

vim /usr/local/nginx/conf/vhost/test.com.conf

2. 在配置文件中添加如下的内容

location ~ \.php$

    {

        include fastcgi_params;

        fastcgi_pass unix:/tmp/php-fcgi.sock;

        fastcgi_index index.php;

        fastcgi_param SCRIPT_FILENAME /data/wwwroot/ test.com $fastcgi_script_name;

    }

---

fastcgi_pass 用来指定php-fpm监听的地址或者socket

fastcgi_index index.php #设定访问根目录默认去找的文件

fastcgi_param SCRIPT_FILENAME /data/wwwroot/test.com$fastcgi_script_name; #设置访问根目录时默认寻找的文件

四、 Nginx代理

1. 编辑一个虚拟主机配置文件

vim  /usr/local/nginx/conf/vhost/ proxy.conf

2. 在配置文件中添加如下内容

server

{

    listen 80;

    server_name ask.apelearn.com ;

    location /

    {

        proxy_pass      http://121.201.9.155/;

        proxy_set_header Host   $host;

        proxy_set_header X-Real-IP      $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    }

}