Nginx防盗链配置/访问控制

什么是防盗链?

1.分别有两个网站A和B,A网站通过http地址引用了B网站的图片,这就叫做盗链
2.防盗链:防止A引用B网站的图片

当前B网站www.blog.com下有一张图片5.jpg,访问测试:

[root@linux ~]# curl -I -x127.0.0.1:80  http://www.blog.com/5.jpg
HTTP/1.1 200 OK

#http状态码200,可以访问该图片

使用A网站test.bbs.com引用B网站www.blog.com的图片5.jpg:

[root@linux ~]# curl -I -x127.0.0.1:80 -e http://test.bbs.com/5.jpg http://www.blog.com/5.jpg
HTTP/1.1 200 OK

#http状态码200,A网站成功引用了B网站的图片5.jpg

配置nginx防盗链:

打开nginx虚拟主机配置文件(B网站www.blog.com的配置文件):

[root@linux ~]# vi /etc/nginx/conf.d/default.conf 

添加如下配置:

location ~ \.(png|gif|jpeg|bmp|mp3|mp4|flv|jpg)$
{
    valid_referers none blocked server_names *.blog.com;
    if ($invalid_referer) {
           return 403;
        }
}

#location的对象为.png/.gif/.jpeg/.bmp/.mp3/.mp4/.flv/.jpg表示防止引用的对象是这些格式的文件,server_names:指定白名单地址,非白名单地址对图片的引用将会返回http状态码403

重载配置文件:

[root@linux ~]# nginx -t 
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@linux ~]# nginx -s reload

测试:

访问B网站www.blog.com的图片5.jpg:

[root@linux ~]# curl -I -x127.0.0.1:80  http://www.blog.com/5.jpg
HTTP/1.1 200 OK

#http状态码200,可以访问(因为nginx防盗链设置的白名单为*.blog.com)

再次使用A网站test.bbs.com引用B网站www.blog.com的图片5.jpg:

[root@linux ~]# curl -I -x127.0.0.1:80 -e http://test.bbs.com/5.jpg http://www.blog.com/5.jpg
HTTP/1.1 403 Forbidden

#http状态码403,防盗链配置成功,白名单外的地址已无法引用B网站www.blog.com下的5.jpg

nginx访问控制:

nginx限制IP访问网站:

1.设置白名单:
Nginx防盗链配置/访问控制_第1张图片
#在虚拟主机配置文件中allow指定允许访问的地址为127.0.0.1,允许访问的网段为192.168.234.0/24,dney all 拒绝除允许的IP和IP段以外的所有地址访问

测试:

白名单IP:127.0.0.1

[root@linux ~]# curl -I -x127.0.0.1:80  http://www.blog.com/
HTTP/1.1 200 OK

#http状态码200,可以访问

白名单网段192.168.234.0/24中的IP:

[root@linux ~]# curl -I -x192.168.234.128:80 http://www.blog.com/
HTTP/1.1 200 OK

#http状态码200,可以访问

白名单之外的IP:

[root@linux ~]# curl -I -x192.168.1.100:80 http://www.blog.com/
HTTP/1.1 403 Forbidden

#http状态码403,拒绝访问

补充:-x指定的IP地址得是本地存在且在使用的IP

2.设置黑名单:
Nginx防盗链配置/访问控制_第2张图片
#deny将127.0.0.1设置为黑名单,除127.0.0.1之外的IP都能访问

测试:

黑名单IP 127.0.0.1:

[root@linux ~]# curl -I -x127.0.01:80 http://www.blog.com/
HTTP/1.1 403 Forbidden

#http状态码403,拒绝访问

黑名单以外的IP 192.168.234.128:

[root@linux ~]# curl -I -x192.168.234.128:80 http://www.blog.com/
HTTP/1.1 200 OK

#http状态码200,可以访问

nginx限制IP访问指定目录:

测试网站www.blog.com下有个目录为admin/,限制IP访问该目录,编辑nginx虚拟主机配置文件,添加以下内容:
Nginx防盗链配置/访问控制_第3张图片
#允许192.168.234.0/24网段的IP访问/admin目录,拒绝127.0.0.1访问/admin

测试:

允许访问的IP:

[root@linux ~]# curl -I -x192.168.234.128:80 www.blog.com/admin/a.txt
HTTP/1.1 200 OK

#http状态码200,可以访问

禁止访问/admin目录的IP 127.0.0.1:

[root@linux ~]# curl -I -x127.0.0.1:80 www.blog.com/admin/a.txt
HTTP/1.1 403 Forbidden

#http状态码403,拒绝访问

nginx限制IP访问指定目录下的某类文件:

测试网站www.blog.com下有个目录为admin/,该目录中有很多.php的文件,为了安全,需要限制所有IP访问该目录下的.php文件,编辑nginx虚拟主机配置文件,添加如下内容:

location ~ .*(upload|admin)/.*\.php$
	{
     	deny all;
	}

#该配置表示禁止所有IP访问upload/和admin/目录下的所有.php文件

测试:

[root@linux ~]# curl -I -x127.0.0.1:80 www.blog.com/admin/login.php
HTTP/1.1 403 Forbidden

#http状态码403,拒绝访问

nginx通过user-agent访问标识限制爬虫:

当网站访问日志中user-agent出现大量异常的访问标识时(比如:Spider/3.0、YoudaoBot、Tomato等),可以通过限制user-agent包含的关键字符拒绝爬虫,节省服务器带宽等

编辑nginx虚拟主机配置文件添加以下内容:

if ($http_user_agent ~ 'Spider/3.0|YoudaoBot|Tomato')
    {
        return 403;
    }

#该配置表示当匹配到user-agent访问表示中包含Spider/3.0、YoudaoBot、Tomato等关键词的时候,拒绝访问

测试:

[root@linux ~]# curl -I -A 'testSpider/3.0' -x127.0.0.1:80 www.blog.com
HTTP/1.1 403 Forbidden

#http状态码403,拒绝访问(curl -A参数:指定user-agent标识)

nginx通过$request_uri匹配关键字限制访问:

什么是$request_uri ?

request_uri :请求的链接,包括$document_uri和$args

测试用url:http://test.bbs.com/home.php?mod=space&uid=1&do=profile

uri:home.php?mod=space&uid=1&do=profile

document_uri:home.php

args:mod=space&uid=1&do=profile

通过匹配uri 中的关键词进行访问限制,编辑nginx虚拟主机配置文件添加以下内容:

if ($request_uri ~ (abc|999))
        {
            return 403;
        }

#当uri 中包含关键词abc或999时,将拒绝访问

测试:

访问测试用url:

[root@linux ~]# curl -I -x127.0.0.1:80 http://test.bbs.com/home.php?mod=space&uid=1&do=profile
HTTP/1.1 200 OK

#http状态码200,可以访问

将uri中document_uri 更改为abc.php:

[root@linux ~]# curl -I -x127.0.0.1:80 http://test.bbs.com/abc.php?mod=space&uid=1&do=profile
HTTP/1.1 403 Forbidden

#htpp状态码403,拒绝访问

将uri中args 加入999关键词:

[root@linux ~]# curl -I -x127.0.0.1:80 http://test.bbs.com/home.php?mod=space999&uid=1&do=profile
HTTP/1.1 403 Forbidden

#http状态码403,拒绝访问

补充:

当在nginx虚拟主机配置文件中添加的内容为 if 判断时,不可以限制指定IP,只能return返回http状态码,限制指定的IP只能在全局或者location中直接allow或deny

你可能感兴趣的:(nginx防盗链配置,nginx限制IP访问,nginx限制IP访问指定目录,nginx限制爬虫,Nginx)