之前也有段时间接触过Nginx,主要是自己拿来学习研究用,记得当时还写过两篇入门级的文章如何在windows上配置并运行nginx -- 安装篇和如何在windows上配置并运行nginx -- 配置实例篇, 呵呵,比较入门,别见怪了。今天在详细看Nginx配置的时候,突然想到一个问题:如何在Nginx配置中限定只能用域名访问服务器,而不能IP访问呢? 原先我还以为这在Nginx下是不可能的,也就抱着试试看的心态去网上找了一番,结果出乎我的意料,答案是完全可以的,又一次证明我的直觉是错误的,以下 是关于Nginx防止IP直接访问的方法的原文,先贴出来,希望给遇到此问题的朋友一个满意的答案。

看了很多nginx的配置,好像都忽略了ip直接访问web的问题,不利于SEO优化,所以我们希望可以避免直接用IP访问网站,而是域名访问,具体怎么做呢,看下面。

官方文档中提供的方法:

If you do not want to process requests with undefined “Host” header lines, you may define a default server that just drops the requests:


nginx禁止IP访问https 443网站

server {

        listen       443;

        server_name  www.xxx.com;

if ($host != 'www.xxx.com' ) {

    rewrite ^/(.*)$ https://www.yyy.com/$1 permanent;

    break;

    }

}


nginx禁止IP访问http网站

server {

listen 80 default_server;

server_name _;

return 444;

}

说白了就是只要是ip访问的直接重置444错误。

但是这样好像又不太友好,如果能直接给跳转到该web server的网址就好了。

配置如下:


server {

listen 80 default_server;

server_name _;

rewrite ^ http://www.domain.com$request_uri?;

}

这样还是有一点问题,某些特别的地址,我需要用ip访问,其他的都禁止,如何配置呢?

比如说我想让监控宝直接用ip访问我的机器的nginx状态信息,其他的用ip访问的所有请求都跳转到域名上。


server {

listen 80 default_server;

server_name _;

        location /xxxxx{

            stub_status on;

            access_log  off;

        }

        location /{

            rewrite ^ http://www.nginxs.com$request_uri?;

        }

}

这样就实现了我们想要的功能了。

另外,在这里说一下server_name。

server_name 是可以使用正则表达式的,这个功能因该说相当实用。

Nginx中的server_name指令主要用于配置基于名称的虚拟主机,server_name指令在接到请求后的匹配顺序分别为:

1、准确的server_name匹配,例如:


server {

     listen       80;

     server_name  domain.com  www.domain.com;

     ...

}

2、以*通配符开始的字符串:


server {

     listen       80;

     server_name  *.domain.com;

     ...

}

3、以*通配符结束的字符串:


server {

     listen       80;

     server_name  www.*;

     ...

}

4、匹配正则表达式:


server {

     listen       80;

     server_name  ~^(?.+)\.domain\.com$;

     ...

}

nginx将按照1,2,3,4的顺序对server name进行匹配,只有有一项匹配以后就会停止搜索,所以我们在使用这个指令的时候一定要分清楚它的匹配顺序(类似于location指令)。

 

server_name指令一项很实用的功能便是可以在使用正则表达式的捕获功能,这样可以尽量精简配置文件,毕竟太长的配置文件日常维护也很不方便。下面是2个具体的应用:

1、在一个server块中配置多个站点:


server

   {

     listen       80;

     server_name  ~^(www\.)?(.+)$;

     index index.php index.html;

     root  /data/wwwsite/$2;

   }

站点的主目录应该类似于这样的结构:

/data/wwwsite/domain.com

/data/wwwsite/nginx.org

/data/wwwsite/baidu.com

/data/wwwsite/google.com

这样就可以只使用一个server块来完成多个站点的配置。



2、在一个server块中为一个站点配置多个二级域名。

实际网站目录结构中我们通常会为站点的二级域名独立创建一个目录,同样我们可以使用正则的捕获来实现在一个server块中配置多个二级域名:

server

   {

     listen       80;

     server_name  ~^(.+)?\.domain\.com$;

     index index.html;

     if ($host = domain.com){

         rewrite ^ http://www.domain.com permanent;

     }

     root  /data/wwwsite/domain.com/$1/;

   }

站点的目录结构应该如下:

/data/wwwsite/domain.com/www/

/data/wwwsite/domain

.com/nginx/

这样访问www.domain.com时root目录为/data/wwwsite/domain.com/www/,nginx.domain.com时为/data/wwwsite/domain.com/nginx/,以此类推。


后面if语句的作用是将domain.com的方位重定向到www.domain.com,这样既解决了网站的主目录访问,又可以增加seo中对www.domain.com的域名权重。

备注:以上Nginx配置参考自http://my.oschina.net/jing31/blog/12711



最近公司域名更变,同时,又要新旧域名同时运行。 那么,对于https的域名在同一个IP上如何同时存在多个虚拟主机呢?遂,查看了下nginx手册,有这么一段内容,如下:

如果在同一个IP上配置多个HTTPS主机,会出现一个很普遍的问题:

server {
     listen          443;
     server_name     www.example.com;
     ssl             on;
     ssl_certificate www.example.com.crt;
     ...
}
 
server {
     listen          443;
     server_name     www.example.org;
     ssl             on;
     ssl_certificate www.example.org.crt;
     ...
}

使用上面的配置,不论浏览器请求哪个主机,都只会收到默认主机www.example.com的证书。这是由SSL协议本身的行为引起的——先建立SSL连接,再发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。

最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址:

server {
     listen          192.168.1.1:443;
     server_name     www.example.com;
     ssl             on;
     ssl_certificate www.example.com.crt;
     ...
}
 
server {
     listen          192.168.1.2:443;
     server_name     www.example.org;
     ssl             on;
     ssl_certificate www.example.org.crt;
     ...
}

那么,在同一个IP上,如何配置多个HTTPS主机呢?

nginx支持TLS协议的SNI扩展(Server Name Indication,简单地说这个扩展使得在同一个IP上可以以不同的证书serv不同的域名)。不过,SNI扩展还必须有客户端的支持,另外本地的OpenSSL必须支持它。

如 果启用了SSL支持,nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持,是在编译时由当时的 ssl.h 决定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果编译时使用的OpenSSL库支持SNI,则目标系统的OpenSSL库只要 支持它就可以正常使用SNI了。

nginx在默认情况下是TLS SNI support disabled。

启用方法:

需要重新编译nginx并启用TLS。步骤如下:

# wget http: //www.openssl.org/source/openssl-1.0.1e.tar.gz
# tar zxvf openssl- 1.0 .1e.tar.gz
# ./configure --prefix=/usr/local/nginx -- with -http_ssl_module \
-- with -openssl=./openssl- 1.0 .1e \
-- with -openssl-opt= "enable-tlsext"
# make
# make install

查看是否启用:

# /usr/local/nginx/sbin/nginx -V
TLS SNI support enabled

这样就可以在 同一个IP上配置多个HTTPS主机了。

实例如下:

server  {
         listen 443;
         server_name   www.ttlsa.com;
         index index.html index.htm index.php;
         root  /data/wwwroot/www .ttlsa.com /webroot ;
         ssl on;
         ssl_certificate "/usr/local/nginx/conf/ssl/www.ttlsa.com.public.cer" ;
         ssl_certificate_key "/usr/local/nginx/conf/ssl/www.ttlsa.com.private.key" ;  
         ......
}      
 
server  {
         listen 443;
         server_name   www.heytool.com;
         index index.html index.htm index.php;
         root  /data/wwwroot/www .heytool.com /webroot ;
         ssl on;
         ssl_certificate "/usr/local/nginx/conf/ssl/www.heytool.com.public.cer" ;
         ssl_certificate_key "/usr/local/nginx/conf/ssl/www.heytool.com.private.key" ;  
         ......
}

这样访问每个虚拟主机都正常。