运维工程师技术教程之nginx ip访问机制

原创 于 2025-11-22 09:53:37 发布 · 516 阅读 · 0 ·
CC 4.0 BY-SA版权
文章标签:

#运维 #nginx #tcp/ip

在 Nginx 中实现“仅允许 10.0.0.5、10.0.0.6、10.0.0.8 访问,其他 IP 禁止”,核心用 allow(允许)和 deny(禁止)指令,支持 全局、虚拟主机(server 块)、特定路径(location 块) 三种粒度控制,按需选择即可:

一、核心配置语法(基础)

# 允许指定 IP(多个 IP 分行写)
allow 10.0.0.5;
allow 10.0.0.6;
allow 10.0.0.8;
# 禁止所有其他 IP(必须放在最后,Nginx 按顺序匹配)
deny all;

二、三种常见使用场景(直接复制可用)

场景 1:禁止访问整个网站(server 块级别)

适合限制整个虚拟主机(如 web01.proxy.cn),仅允许 3 个 IP 访问:

server {
    listen       80;
    server_name  web01.proxy.cn;
    root html;

    # 关键:IP 白名单配置(放在 server 块最前面)
    allow 10.0.0.5;
    allow 10.0.0.6;
    allow 10.0.0.8;
    deny all;  # 拒绝其他所有 IP

    location / {
        index  index.html index.htm index.php;
    }

    # 其他配置(如静态文件、PHP 转发等)...
}
场景 2:禁止访问特定路径(location 块级别)

适合仅限制某个目录/文件(如 /admin 后台、/api 接口),网站其他部分正常开放:

server {
    listen       80;
    server_name  web01.proxy.cn;
    root html;

    location / {
        index  index.html index.htm index.php;
    }

    # 关键:仅限制 /admin 路径,仅允许 3 个 IP 访问
    location /admin/ {
        allow 10.0.0.5;
        allow 10.0.0.6;
        allow 10.0.0.8;
        deny all;

        # 若该路径是 PHP 项目,需保留原有转发配置
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        include        fastcgi_params;
    }

    # 其他配置...
}
场景 3:禁止访问特定文件(如单个接口文件)

适合仅限制某个文件(如 /api/data.php),其他文件正常访问:

server {
    listen       80;
    server_name  web01.proxy.cn;
    root html;

    location / {
        index  index.html index.htm index.php;
    }

    # 关键:仅限制 /api/data.php 文件
    location = /api/data.php {
        allow 10.0.0.5;
        allow 10.0.0.6;
        allow 10.0.0.8;
        deny all;

        # PHP 转发配置(按需保留)
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        include        fastcgi_params;
    }

    # 其他配置...
}

三、关键注意事项(避免踩坑)

  1. 匹配顺序allow 必须放在 deny all 前面!Nginx 按配置顺序匹配,一旦匹配到 allow 就放行,否则执行最后 deny all
  2. IP 格式支持
    • 单个 IP:allow 10.0.0.5;(你要的场景);
    • 网段:allow 10.0.0.0/24;(允许 10.0.0.0-255 网段);
    • 子网掩码:allow 10.0.0.0/255.255.255.0;(和网段等价);
  3. 禁止后的响应:默认返回 403 Forbidden(禁止访问),若想自定义提示页面,可添加:
    error_page 403 /403.html;  # 403 时跳转自定义页面
location = /403.html {
    root html;  # 自定义页面放在 nginx 的 html 目录
}
  4. 配置生效:修改后必须重载 Nginx:
    /usr/local/nginx/sbin/nginx -t  # 先检查语法是否正确
/usr/local/nginx/sbin/nginx -s reload  # 重载配置

四、验证是否生效

用非白名单 IP(如 10.0.0.9)访问,会返回 403;用 10.0.0.5/6/8 访问,正常放行。也可通过 curl 测试:

# 用非白名单 IP 测试(假设服务器是 10.0.0.7)
curl -I http://10.0.0.7  # 应返回 403 Forbidden

总结

按你的需求,优先选择「场景 1(server 块级别)」,直接在目标虚拟主机中添加 allowdeny all,即可实现“仅 3 个 IP 访问,其他禁止”。如果只需限制部分路径/文件,选场景 2 或 3 即可。

中高级运维工程师运维面试题(二)之NGINX
qq_37566948的博客
12-12 1319
本文将整理一些中高级运维工程师在面试中常遇到的 NGINX 相关问题,并提供详细的解答。
Nginxip部署站点
m0_60494863的博客
01-02 1533
2)对 ifcfg-ens33 文件进行配置修改前先进行备份。可以通过查看端口占用情况,有我配置的三个 ip 相同端口。3)先修改成最小配置,使用 dd 可以快速将行删除。在 listen 处加上配置好的 ip 地址。这样就可以通过不同的ip 访问不同的站点了。配置好的信息如下,这里我配置的三个 ip。wq保存退出,然后重启nginx。4) 添加 ip 子掩码和网关。1)来到网卡配置文件存放目录下。
Nginx配置限制IP访问 懒的程序入手就Nginx
baidu_37366055的博客
06-17 6169
nginx配置ip限制
nginx配置指定ip段或者固定ip访问地址主机路径
qq_56720460的博客
01-10 2524
Nginx 提供了强大的访问控制功能,允许你根据客户端的 IP 地址来控制对服务器资源的访问。通过配置 allow 和 deny 指令,可以精确地指定哪些 IP 地址或 IP 段可以访问特定的主机路径。
nginx allow ip & ipv4的网段表示方法解析
热门推荐
senlin1202的博客
03-24 3万+
单看nginx模块名ngx_http_access_module,很人一定很陌生,但是deny和allow相比没一个人不知道的,实际上deny和allow指令属于ngx_http_access_module.我们想控制某个uri或者一个路径不让人访问,在nginx就得靠它了。 nginx访问控制模块语法很简单,至少比apache好理解,apache的allow和deny的顺序让很初学者
nginxIP访问网站
weixin_74817335的博客
10-21 432
4.自定义nginx配置文件通过地址区分网站。5.根据配置在主机创建数据文件,重启服务加载配置。3.给主机配置个地址。1.先配置关闭防火墙。
从入门到精通:Nginx运维秘籍大公开
最新发布
大雨的博客
05-26 1380
Nginx 运维涵盖了从基础操作到进阶技巧,再到实战演练和监控维护的个层面,每一个环节都紧密相连,共同保障着 Web 服务的稳定高效运行。通过安装 Nginx,我们开启了这一技术之旅,掌握启动、停止与重启的方法,如同掌握了机器运转的开关。深入了解配置文件的结构,让我们能够根据业务需求,灵活调整 Nginx 的行为,使其更好地服务于我们的应用。在进阶技巧部分,负载均衡配置让我们能够合理分配请求,充分利用后端服务器资源;缓存设置提升了访问速度,减轻了服务器压力;
运维工程师,总结40个面试题
张晨光老师的播客
04-25 2180
下面是一名运维人员求职数十家公司总结的Linux运维面试题,给大家参考下~1、什么是运维?什么是游戏运维?1)运维是指大型组织已经建立好的网络软硬件的维护,就是要保证业务的上线与运作的正常,在他运转的过程中,对他进行维护,他集合了网络、系统、数据库、开发、安全、监控于一身的技术运维又包括很种,有DBA运维、网站运维、虚拟化运维、监控运维、游戏运维等等2)游戏运维又有分工,分为开发运维、应用运维(业务运维)和系统运维开发运维:是给应用运维开发运维工具和运维平台的。
运维工程师面试总结(含答案)_运维面试
m0_60388419的博客
04-27 1690
外链图片转存中…(img-BuDZ9hvM-1714212217544)][外链图片转存中…(img-KZ5GMBHb-1714212217544)][外链图片转存中…(img-0WgbV9Hs-1714212217545)][外链图片转存中…(img-UM4SpoDG-1714212217545)][外链图片转存中…(img-Yzk2OrmP-1714212217546)]
运维工程师面试题
qq_41946216的博客
10-28 1965
36、已知 apache 服务的访问日志按天记录在服务器本地目录/app/logs下,由于磁盘空间紧张现在要求只能保留最近7天的访问日志!请给出解决办法或配置或处理命令?22、使用tcpdump监听主机为192.168.1.1,tcp端口为8 0的数据,同时将输出结果保存输出到tcpdump.log。35、写一个脚本,实现判断192.168.1.0/24网络里,当前在线的IP有哪些,能ping通则认为在线?144.简述 Kubernetes 中,如何使用 EFK 实现日志的统一管理?
如何给Nginx配置访问IP白名单
高性价比服务器就选:蓝易云
05-02 589
IP白名单可以帮助你限制只有特定IP地址可以访问到你的网站或者某些特定页面,这样就能有效地防止恶意访问和攻击。在大数Linux系统中,默认路径通常为/etc/nginx/nginx.conf 或者 /etc/nginx/sites-available/default。上述代码表示允许192.XXX.XXX.XXX和10.XXX.XXX.XX两个网段进行连接,并拒绝所有其他ip地址。上述代码表示只有192.XXX.XXX.XXX网段的ip可以访问/secret路径,其他所有IP都将被拒绝。
IP访问控制
qq_44539748的博客
07-10 5043
在本教程中,我们学习了如何使用Nginx配置IP访问控制,以根据IP地址对请求进行访问控制。通过按照上述步骤配置Nginx,并设置适当的allow和deny指令,您可以允许或拒绝特定IP地址的访问IP访问控制是一种常见的安全措施,用于限制特定IP地址的访问权限,可以允许或拒绝特定IP地址的请求。打开Nginx的配置文件,通常是位于/etc/nginx/nginx.conf或/usr/local/nginx/conf/nginx.conf。使用允许访问IP地址或IP地址范围发起请求到Nginx服务器。
Nginx控制IP(段)的访问策略配置
m0_37258559的博客
01-09 8061
Nginx控制IP(段)的访问策略配置
安装nginx实现ip访问网站
weixin_74812127的博客
10-20 451
自定义nginx配置文件通过地址区分网站。二,实现ip访问网站。设置ip,设置完保存退出。根据配置在主机创建数据文件。
后端面试必备:在Nginx中配置访问控制详解
qq_58299462的博客
04-19 1812
Nginx提供了访问控制机制,可以基于IP地址、用户认证、地理位置等种条件来控制对资源的访问。合理的访问控制配置可以增强服务器安全性,防止未授权访问和恶意攻击。
nginx配置使用ip地址访问网站
weixin_46990364的博客
12-13 3559
经过上面的配置,你就可以通过 ip:端口号/,比如xxx.xxx.xxx.xxx:端口号/访问到你部署在服务器上的html页面了。
Nginx配置只允许指定ip访问
weixin_42396197的博客
01-14 8652
只在nginx配置文件location段加入代码后重启nginx,如下 location / { client_max_body_size 48m; index index.html index.htm index.php; if (!-e $request_filename) { rewrite ^(.*)$ /index.php?s=$1 last;
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

teayear

亲,感觉不错,打赏杯咖啡哦^^

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值