40人参与 • 2025-05-12 • Redis
在 nginx 配置中,allow 和 deny 指令用于基于 ip 地址的访问控制,帮助管理员灵活管理资源访问权限。本文将结合配置语法、优先级规则、应用场景及优化技巧,全面解析这两个指令的使用方法。
allow:允许指定的 ip 地址或网段访问。deny:禁止指定的 ip 地址或网段访问。allow 和 deny 属于 ngx_http_access_module 模块,默认已集成在 nginx 中(除非编译时通过 --without-http_access_module 禁用)。其语法如下:
allow <ip地址|cidr|unix: | all>; deny <ip地址|cidr|unix: | all>;
192.168.1.1)和 ipv6(如 2001:0db8::/32)。192.168.1.0/24)。nginx 采用 “顺序优先,首次匹配” 的规则:
deny all; 全局拒绝。location / {
deny 192.168.1.1; # 拒绝单个 ip
allow 192.168.1.0/24; # 允许整个网段
deny all; # 拒绝其他所有 ip
}
192.168.1.1 匹配第一条 deny,直接拒绝。192.168.1.2)匹配 allow 后放行。10.0.0.1)最终被 deny all 拒绝。location /admin {
allow 192.168.1.0/24;
deny all;
error_page 403 /custom_403.html; # 自定义错误页面
}
仅允许内网访问 /admin,其他 ip 返回 403 并跳转至自定义页面。
location /api {
allow 203.0.113.5;
deny all;
proxy_pass http://backend;
}
仅允许特定 ip 访问 api,防止未授权调用。
location /public {
allow all;
}
location /private {
allow 10.0.0.0/8;
deny all;
}
不同路径设置独立的访问策略,兼顾灵活性与安全性。
当 nginx 位于代理后方时,需通过 x-forwarded-for 获取真实客户端 ip:
set_real_ip_from 10.0.0.0/8; # 信任的代理服务器 ip 段 real_ip_header x-forwarded-for; real_ip_recursive on; # 排除可信代理 ip,获取真实客户端 ip
避免误判代理服务器 ip 为客户端地址。
大规模 ip 规则时,geo 模块可提升匹配效率:
geo $blocked_ip {
default 0;
192.168.1.0/24 1;
10.0.0.5 1;
}
server {
if ($blocked_ip) {
return 403;
}
}
预定义 ip 匹配状态,减少动态规则解析开销。
结合 fail2ban 或 iptables 自动封禁恶意 ip:
include 指令加载。错误示例:
allow all; deny 192.168.1.1; # 此规则失效!
正确写法应先拒绝再允许:
deny 192.168.1.1; allow all;
未设置 real_ip_header 时,allow/deny 可能基于代理服务器 ip 而非客户端 ip,导致错误封禁。
若需独立控制 ipv6,需显式指定:
allow 2001:0db8::/32; deny 2001:0db8::1;
/24 合并为 /16。include 引入外部规则文件,提升可维护性:include /etc/nginx/conf.d/ip-whitelist.conf; deny all;
if:if 指令可能引发性能问题,优先在 location 或 server 块中配置规则。allow 和 deny 是 nginx 实现 ip 访问控制的核心指令,需重点注意:
geo 模块、动态工具联动。通过合理设计规则,可有效保护敏感接口、抵御恶意流量,同时保持服务的高效稳定。
到此这篇关于nginx配置allow和deny指令的使用的文章就介绍到这了,更多相关nginx配置allow和deny指令内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
您想发表意见!!点此发布评论
版权声明:本文内容由互联网用户贡献,该文观点仅代表作者本人。本站仅提供信息存储服务,不拥有所有权,不承担相关法律责任。 如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2386932994@qq.com 举报,一经查实将立刻删除。
发表评论