Nginx 配置 allow 和 deny 指令详解

最新推荐文章于 2025-05-12 20:01:34 发布
最新推荐文章于 2025-05-12 20:01:34 发布
阅读量1.6k 收藏 18
点赞数 30
文章标签: nginx 运维
本BLOG上原创文章未经本人许可,不得用于商业用途。转载请注明出处,否则保留追究法律责任的权利。”
本文链接:https://blog.youkuaiyun.com/weixin_42434700/article/details/146013731
版权

文章目录

介绍

在 Nginx 配置中,allowdeny 指令用于基于 IP 地址的访问控制,帮助管理员灵活管理资源访问权限。本文将结合配置语法、优先级规则、应用场景及优化技巧,全面解析这两个指令的使用方法。

  • allow:允许指定的 IP 地址或网段访问。
  • deny:禁止指定的 IP 地址或网段访问。

指令简介与基本语法

allowdeny 属于 ngx_http_access_module 模块,默认已集成在 Nginx 中(除非编译时通过 --without-http_access_module 禁用)。其语法如下:

allow <IP地址|CIDR|unix: | all>;
deny <IP地址|CIDR|unix: | all>;
  • IP地址:支持 IPv4(如 192.168.1.1)和 IPv6(如 2001:0db8::/32)。
  • CIDR:表示 IP 段(如 192.168.1.0/24)。
  • unix::允许或禁止 Unix 域套接字访问(需 Nginx 1.5.1+)。
  • all:匹配所有地址。

优先级与执行顺序

Nginx 采用 “顺序优先,首次匹配” 的规则:

  1. 按配置顺序逐条检查规则,匹配到第一条后立即生效,后续规则忽略。
  2. 默认允许所有访问,除非显式使用 deny all; 全局拒绝。

示例分析

location / {
    deny 192.168.1.1;        # 拒绝单个 IP
    allow 192.168.1.0/24;    # 允许整个网段
    deny all;                # 拒绝其他所有 IP
}
  • 192.168.1.1 匹配第一条 deny,直接拒绝。
  • 网段内其他 IP(如 192.168.1.2)匹配 allow 后放行。
  • 非网段 IP(如 10.0.0.1)最终被 deny all 拒绝。

典型应用场景

限制管理后台访问

location /admin {
    allow 192.168.1.0/24;
    deny all;
    error_page 403 /custom_403.html;  # 自定义错误页面
}

仅允许内网访问 /admin,其他 IP 返回 403 并跳转至自定义页面。

白名单控制 API 接口

location /api {
    allow 203.0.113.5;
    deny all;
    proxy_pass http://backend;
}

仅允许特定 IP 访问 API,防止未授权调用。

按路径差异化控制

location /public {
    allow all;
}

location /private {
    allow 10.0.0.0/8;
    deny all;
}

不同路径设置独立的访问策略,兼顾灵活性与安全性。

高级配置技巧

反向代理环境下的真实 IP 获取

当 Nginx 位于代理后方时,需通过 X-Forwarded-For 获取真实客户端 IP:

set_real_ip_from 10.0.0.0/8;   # 信任的代理服务器 IP 段
real_ip_header X-Forwarded-For;
real_ip_recursive on;           # 排除可信代理 IP,获取真实客户端 IP

避免误判代理服务器 IP 为客户端地址。

使用 geo 模块优化性能

大规模 IP 规则时,geo 模块可提升匹配效率:

geo $blocked_ip {
    default 0;
    192.168.1.0/24 1;
    10.0.0.5 1;
}

server {
    if ($blocked_ip) {
        return 403;
    }
}

预定义 IP 匹配状态,减少动态规则解析开销。

动态封禁与自动化

结合 Fail2baniptables 自动封禁恶意 IP:

  1. 日志监控:配置 Nginx 记录访问日志。
  2. 规则联动:Fail2ban 分析日志后动态更新 Nginx 黑名单文件,通过 include 指令加载。

常见问题与避坑指南

规则顺序错误导致漏洞

错误示例:

allow all;
deny 192.168.1.1;  # 此规则失效!

正确写法应先拒绝再允许:

deny 192.168.1.1;
allow all;

反向代理未配置真实 IP

未设置 real_ip_header 时,allow/deny 可能基于代理服务器 IP 而非客户端 IP,导致错误封禁。

IPv4/IPv6 兼容性问题

若需独立控制 IPv6,需显式指定:

allow 2001:0db8::/32;
deny 2001:0db8::1;

性能优化建议

  1. 合并规则:使用 CIDR 减少条目,如将多个 /24 合并为 /16
  2. 分文件管理:通过 include 引入外部规则文件,提升可维护性:
    include /etc/nginx/conf.d/ip-whitelist.conf;
deny all;
  3. 避免过度使用 ifif 指令可能引发性能问题,优先在 locationserver 块中配置规则。

总结

allowdeny 是 Nginx 实现 IP 访问控制的核心指令,需重点注意:

  • 顺序决定优先级,规则按从上到下执行。
  • 反向代理需配置真实 IP,避免误判。
  • 性能优化:合并规则、使用 geo 模块、动态工具联动。

通过合理设计规则,可有效保护敏感接口、抵御恶意流量,同时保持服务的高效稳定。

【linux】Nginx服务常用扩展功能:权限控制Allow,Deny、用户认证Auth_user、连接限制、请求限制
走向CTO的路上...
03-27 1004
Nginx提供了许多常用的扩展功能,包括权限控制、用户认证、连接限制请求限制。这只是一个简单的示例,实际应用中应该使用更安全复杂的认证方式,例如使用数据库存储用户凭据信息,使用哈希函数对密码进行加密等。等指令,可以限制来自客户端的请求速率请求/响应的大小,防止过多的请求影响服务器的性能或导致资源耗尽。这些指令可以限制来自客户端的请求速率,以及限制请求响应的大小,以保护服务器免受恶意攻击滥用。指令,可以要求用户提供用户名密码,只有经过身份验证的用户才能访问受保护的资源。
Nginx配置详解
SELF_REDEEM的博客
08-01 6586
目录 简介 Nginx是什么? Nginx全局配置 全局配置之事件类配置 使用Nginx的HTTP模块配置静态Web服务器 HTTP配置项 HTTP客户端配置项 文件操作配置项 虚拟主机与请求分发 网络连接配置 server配置块 使用Nginx的HTTP的代理模块配置反向代理服务器 Nginx四层代理 简介 在公司的工作中,接触到阿里云的组网方式网络架构这一块,其中除了SLB,最常用的还有Nginx Web服务器。其中涉及到Nginx的四层代理、七层代...
后端面试必备:如何在Nginx中禁止访问特定目录
qq_58299462的博客
04-24 1622
为了在Nginx中禁止访问特定目录,可以配置Nginx的1ocation指令来匹配需要禁止访问的目录,并返回适当的状态码,比如403禁止访问。
nginx入门教程:allowdeny指令
红衣大叔
11-11 1186
allowdeny指令Nginx中用于实现基于IP地址的访问控制的指令。它们可以在httpserverlocation等上下文中使用,用于控制对特定资源的访问。allow指令用于指定允许访问的IP地址或IP段。deny指令用于指定拒绝访问的IP地址或IP段。当Nginx处理一个请求时,它会根据配置文件中allowdeny指令的顺序来检查请求的IP地址。如果找到匹配的deny指令,请求将被拒绝;如果找到匹配的allow指令且之前没有匹配的deny指令,请求将被允许。如果没有找到任何匹配的allow
详解Nginx如何封禁IPIP段?
最新发布
牛肉胡辣汤
05-12 625
在某些情况下,你可能需要封禁特定的 IP 地址或 IP 段,以防止恶意访问或保护服务器资源。在Web服务器的日常管理中,有时需要对特定的IP地址或IP段进行访问限制,以保护网站的安全。这样,Nginx 就会根据新的配置文件进行操作,封禁指定的 IP 地址或 IP 段。在Nginx中,封禁特定的IP地址或IP段可以通过修改Nginx配置文件来实现。或者,如果你使用的是不同的系统管理工具,可以使用相应的命令来重新加载Nginx。对于需要封禁多个IP段的情况,可以使用Nginx的Geo模块来简化配置
nginx allow什么意思?
xx155802862xx的博客
02-16 294
命令,共同构建了一套高效且灵活的访问控制机制,确保只有被授权的客户端能够触及指定内容,从而强化服务器的安全防线,抵御潜在的未授权侵入企图。例如,在Nginx配置文件里,通过以下配置段,我们可以实现仅允许来自192.168.1.0/24子网的用户访问位于。指令扮演着至关重要的角色,它作为网络安全策略的一部分,能够精准地调控对特定资源的访问权限。在此例中,不仅限于IP层面,还扩展到了基于用户名密码的身份验证,进一步提升了安全性。在Nginx配置体系中,
nginxdenyallow详解
码农崛起
07-31 2927
allowdeny都可以在http,server,location,limit_except中使用。如果被deny则会返回“403 Forbidden”报错信息。以下几个场景能够说明清楚这2个命令的具体是怎么用的。denyallow都是在access阶段。
nginx访问控制 —— deny_allow
qq_34953582的博客
09-06 2606
nginx访问控制 —— deny_allow
nginx访问控制allowdeny
chizhi3354的博客
06-04 1103
单看nginx模块名ngx_http_access_module,很多人一定很陌生,但是denyallow相比没一个人不知道的,实际上denyallow指令属于ngx_http_access_module.我们想控制某个uri或者一个路径不让人访问,在nginx就得靠它了。 nginx的...
nginxallowdeny
yangrui0070的博客
01-23 2万+
allowdeny这两个指令的意思是指,允许ip限制ip在此之前不得不提一下,这两个指令是存在于ngx_http_access_module模块之中的allow 语法:allow address |CIDR|unix:|all: 默认值:None 区间:http,server,location,limit_except 允许一个ip或者ip段访问deny 语法:deny address
Nginx访问限制配置详解
09-30
Nginx通过配置文件中的allowdeny指令来实现这一控制。配置语法如下: allow指令允许来自指定IP地址或CIDR范围的客户端请求,而deny指令则阻止来自指定IP的访问。如果没有指定,Nginx不会默认拒绝任何IP。配置路径...
enable-nginx
10-07
#!/bin/bash nginxd=/usr/local/nginx/sbin/nginx nginx_config=/usr/local/nginx/conf/nginx.conf nginx_pid=/usr/local/nginx/logs/nginx.pid RETVAL=0 prog=$(basename $nginxd) . /etc/rc.d/init.d/functions . /etc/sysconfig/network
详解Nginx防盗链Nginx访问控制与Nginx解析php的配置
09-30
总结,通过上述配置,你可以实现Nginx的基本防盗链、访问控制PHP解析功能。在实际部署中,应根据具体需求调整这些配置,确保服务器的安全性性能。如果你遇到任何问题或有进一步的讨论,欢迎留言或在相关社区进行...
nginx基础模块配置详解
十七拾的博客
02-23 2793
本文详细阐释了nginx基础模块的配置优化,如全局配置、http模块配置、server模块配置、location模块配置、access模块配置等,希望对你有帮助!
nginx allow deny
Claroja
02-03 873
allow deny 可以用于http,serverlocation 1.同一块下的两个权限指令,先出现的设置会覆盖后出现的设置,所以deny all 并不包括 allow 的ip. allow 192.168.1.2; deny all; # 若省略deny则会允许所有客户端访问 2.内层块会覆盖外层块的权限 http{ deny all; server{ allow all; } ...
Nginxallow / deny 理解
liaosiqian的博客
02-05 5911
1、DEMO location / { deny 192.168.1.1; allow 192.168.1.0/24; allow 10.1.1.0/16; allow 2001:0db8::/32; deny all; } allow 192.168.1.0/24; 代表允许 192...* 的任何地址访问 allow 10.1.1.0/16; 代表允许 10.1.. 的任何地址访问 10.1.1.0/16 为 CIDR的表示语法。 2、官网介绍 all
nginx allow 多个ip & ipv4的网段表示方法解析
热门推荐
senlin1202的博客
03-24 3万+
单看nginx模块名ngx_http_access_module,很多人一定很陌生,但是denyallow相比没一个人不知道的,实际上denyallow指令属于ngx_http_access_module.我们想控制某个uri或者一个路径不让人访问,在nginx就得靠它了。 nginx的访问控制模块语法很简单,至少比apache好理解,apache的allowdeny的顺序让很多初学者
nginx 访问控制之deny allow
weixin_30354675的博客
05-09 1334
Nginxdenyallow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块。 除非在安装时有指定 --without-http_access_module。 语法: 语法:allow/deny address | CIDR | unix: | all 它表示,允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许so...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

XMYX-0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值