Nginx配置allow和deny指令的使用

 更新时间:2025年05月12日 10:08:05   作者:XMYX-0  
在Nginx配置中,allow和deny指令用于基于IP地址的访问控制,帮助管理员灵活管理资源访问权限,具有一定的参考价值,感兴趣的可以了解一下

介绍

在 Nginx 配置中,allow 和 deny 指令用于基于 IP 地址的访问控制,帮助管理员灵活管理资源访问权限。本文将结合配置语法、优先级规则、应用场景及优化技巧,全面解析这两个指令的使用方法。

  • allow:允许指定的 IP 地址或网段访问。
  • deny:禁止指定的 IP 地址或网段访问。

指令简介与基本语法

allow 和 deny 属于 ngx_http_access_module 模块,默认已集成在 Nginx 中(除非编译时通过 --without-http_access_module 禁用)。其语法如下:

allow <IP地址|CIDR|unix: | all>;
deny <IP地址|CIDR|unix: | all>;
  • IP地址:支持 IPv4(如 192.168.1.1)和 IPv6(如 2001:0db8::/32)。
  • CIDR:表示 IP 段(如 192.168.1.0/24)。
  • unix::允许或禁止 Unix 域套接字访问(需 Nginx 1.5.1+)。
  • all:匹配所有地址。

优先级与执行顺序

Nginx 采用 “顺序优先,首次匹配” 的规则:

  • 按配置顺序逐条检查规则,匹配到第一条后立即生效,后续规则忽略。
  • 默认允许所有访问,除非显式使用 deny all; 全局拒绝。

示例分析

location / {
    deny 192.168.1.1;        # 拒绝单个 IP
    allow 192.168.1.0/24;    # 允许整个网段
    deny all;                # 拒绝其他所有 IP
}
  • 192.168.1.1 匹配第一条 deny,直接拒绝。
  • 网段内其他 IP(如 192.168.1.2)匹配 allow 后放行。
  • 非网段 IP(如 10.0.0.1)最终被 deny all 拒绝。

典型应用场景

限制管理后台访问

location /admin {
    allow 192.168.1.0/24;
    deny all;
    error_page 403 /custom_403.html;  # 自定义错误页面
}

仅允许内网访问 /admin,其他 IP 返回 403 并跳转至自定义页面。

白名单控制 API 接口

location /api {
    allow 203.0.113.5;
    deny all;
    proxy_pass http://backend;
}

仅允许特定 IP 访问 API,防止未授权调用。

按路径差异化控制

location /public {
    allow all;
}

location /private {
    allow 10.0.0.0/8;
    deny all;
}

不同路径设置独立的访问策略,兼顾灵活性与安全性。

高级配置技巧

反向代理环境下的真实 IP 获取

当 Nginx 位于代理后方时,需通过 X-Forwarded-For 获取真实客户端 IP:

set_real_ip_from 10.0.0.0/8;   # 信任的代理服务器 IP 段
real_ip_header X-Forwarded-For;
real_ip_recursive on;           # 排除可信代理 IP,获取真实客户端 IP

避免误判代理服务器 IP 为客户端地址。

使用 geo 模块优化性能

大规模 IP 规则时,geo 模块可提升匹配效率:

geo $blocked_ip {
    default 0;
    192.168.1.0/24 1;
    10.0.0.5 1;
}

server {
    if ($blocked_ip) {
        return 403;
    }
}

预定义 IP 匹配状态,减少动态规则解析开销。

动态封禁与自动化

结合 Fail2ban 或 iptables 自动封禁恶意 IP:

  • 日志监控:配置 Nginx 记录访问日志。
  • 规则联动:Fail2ban 分析日志后动态更新 Nginx 黑名单文件,通过 include 指令加载。

常见问题与避坑指南

规则顺序错误导致漏洞

错误示例:

allow all;
deny 192.168.1.1;  # 此规则失效!

正确写法应先拒绝再允许:

deny 192.168.1.1;
allow all;

反向代理未配置真实 IP

未设置 real_ip_header 时,allow/deny 可能基于代理服务器 IP 而非客户端 IP,导致错误封禁。

IPv4/IPv6 兼容性问题

若需独立控制 IPv6,需显式指定:

allow 2001:0db8::/32;
deny 2001:0db8::1;

性能优化建议

  • 合并规则:使用 CIDR 减少条目,如将多个 /24 合并为 /16
  • 分文件管理:通过 include 引入外部规则文件,提升可维护性:
    include /etc/nginx/conf.d/ip-whitelist.conf;
    deny all;
    
  • 避免过度使用 ifif 指令可能引发性能问题,优先在 location 或 server 块中配置规则。

总结

allow 和 deny 是 Nginx 实现 IP 访问控制的核心指令,需重点注意:

  • 顺序决定优先级,规则按从上到下执行。
  • 反向代理需配置真实 IP,避免误判。
  • 性能优化:合并规则、使用 geo 模块、动态工具联动。

通过合理设计规则,可有效保护敏感接口、抵御恶意流量,同时保持服务的高效稳定。

到此这篇关于Nginx配置allow和deny指令的使用的文章就介绍到这了,更多相关Nginx配置allow和deny指令内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

相关文章

  • nginx之virtual host虚拟主机的配置实现

    nginx之virtual host虚拟主机的配置实现

    虚拟主机(vhost)技术允许一台物理服务器托管多个独立网站或应用,每个虚拟主机拥有独立的域名、配置文件等,实现资源隔离管理,Nginx服务器通过配置文件实现虚拟主机设置,感兴趣的可以了解一下
    2024-11-11
  • nginx部署前端post请求405 not allowed问题解决

    nginx部署前端post请求405 not allowed问题解决

    在配置前端项目的时候遇到了一个post请求405 not allowed,简单记录一下如何配置,这篇文章主要给大家介绍了关于nginx部署前端post请求405 not allowed问题解决方法,需要的朋友可以参考下
    2023-09-09
  • Nginx 压缩(gzip、gunzip、gzip_static、send_file)的实现

    Nginx 压缩(gzip、gunzip、gzip_static、send_file)的实现

    在Web应用开发中,优化网站速度是一个非常重要的工作,本文主要介绍了Nginx 压缩(gzip、gunzip、gzip_static、send_file)的实现,感兴趣的可以了解一下
    2024-09-09
  • Nginx 配置 proxy_hide_header 隐藏后端 Server 的版本信息的实现

    Nginx 配置 proxy_hide_header 隐藏后端 Server&n

    Nginx反向代理场景中,后端服务常会在响应头中暴露版本信息,使用proxy_hide_header指令可以在Nginx层将其过滤掉,本文就来详细的介绍一下Nginx隐藏后端 Server 的版本信息的实现,感兴趣的可以了解一下
    2026-04-04
  • Nginx配置同一个域名同时支持http与https两种方式访问实现

    Nginx配置同一个域名同时支持http与https两种方式访问实现

    这篇文章主要介绍了Nginx配置同一个域名同时支持http与https两种方式访问实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2020-08-08
  • Nginx使用Lua模块实现WAF的原理解析

    Nginx使用Lua模块实现WAF的原理解析

    waf是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,本文重点给大家介绍Nginx使用Lua模块实现WAF的原理,需要的朋友参考下吧
    2021-09-09
  • Nginx 服务器安装及配置文件详解介绍

    Nginx 服务器安装及配置文件详解介绍

    这篇文章主要介绍了Nginx 服务器安装及配置文件详解介绍,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
    2016-11-11
  • Nginx伪静态配置和常用Rewrite伪静态规则集锦

    Nginx伪静态配置和常用Rewrite伪静态规则集锦

    伪静态是一种可以把文件后缀改成任何可能的一种方法,如果我想把php文件伪静态成html文件,这种相当简单的,下面我来介绍nginx 伪静态配置方法有需要了解的朋友可参考。
    2014-06-06
  • 修改Nginx与Apache上传文件大小限制

    修改Nginx与Apache上传文件大小限制

    这篇文章主要介绍了修改Nginx与Apache上传文件大小限制,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2017-10-10
  • nginx 流控使用的项目实践

    nginx 流控使用的项目实践

    本文主要介绍了nginx 流控使用的项目实践
    2024-03-03

最新评论