Nginx怎么限制IP访问只允许特定域名访问

在使用Nginx作为Web服务器时，我们经常需要对访问进行限制，以确保只有特定的域名或IP地址可以访问我们的网站。本文将详细介绍如何使用Nginx配置来限制IP访问，并只允许特定域名访问。

1. 限制IP访问

1.1 使用allow和deny指令

Nginx提供了allow和deny指令，可以用来控制哪些IP地址可以访问服务器。这两个指令可以在http、server、location块中使用。

http {
    # 允许特定IP访问
    allow 192.168.1.1;
    allow 192.168.1.2;
    
    # 拒绝所有其他IP访问
    deny all;
}

在上面的配置中，只有192.168.1.1和192.168.1.2这两个IP地址可以访问服务器，其他所有IP地址都会被拒绝。

1.2 使用geo模块

geo模块可以根据客户端的IP地址来设置变量，从而实现更复杂的IP访问控制。

http {
    geo $allowed_ip {
        default 0;
        192.168.1.1 1;
        192.168.1.2 1;
    }

    server {
        if ($allowed_ip = 0) {
            return 403;
        }
    }
}

在这个配置中，geo模块将192.168.1.1和192.168.1.2这两个IP地址映射为1，其他IP地址映射为0。然后在server块中，如果$allowed_ip为0，则返回403 Forbidden。

2. 只允许特定域名访问

2.1 使用server_name指令

Nginx的server_name指令可以用来指定服务器块响应的域名。通过配置多个server块，可以实现只允许特定域名访问。

server {
    listen 80;
    server_name example.com;

    location / {
        # 允许example.com访问
    }
}

server {
    listen 80 default_server;
    server_name _;

    return 403;
}

在这个配置中，第一个server块只响应example.com的请求，而第二个server块作为默认服务器，拒绝所有其他域名的请求。

2.2 使用if指令

虽然if指令在Nginx中不推荐使用，但在某些情况下可以用来实现只允许特定域名访问。

server {
    listen 80;
    server_name _;

    if ($host != "example.com") {
        return 403;
    }

    location / {
        # 允许example.com访问
    }
}

在这个配置中，如果请求的Host头不是example.com，则返回403 Forbidden。

3. 结合限制IP和域名访问

在实际应用中，我们可能需要同时限制IP和域名访问。可以通过结合上述方法来实现。

http {
    geo $allowed_ip {
        default 0;
        192.168.1.1 1;
        192.168.1.2 1;
    }

    server {
        listen 80;
        server_name example.com;

        if ($allowed_ip = 0) {
            return 403;
        }

        location / {
            # 允许example.com和特定IP访问
        }
    }

    server {
        listen 80 default_server;
        server_name _;

        return 403;
    }
}

在这个配置中，geo模块限制了只有192.168.1.1和192.168.1.2这两个IP地址可以访问，而server_name指令限制了只有example.com这个域名可以访问。

4. 使用防火墙进一步限制

除了在Nginx中配置访问限制外，还可以使用防火墙（如iptables或ufw）来进一步限制访问。

# 允许特定IP访问80端口
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.2 -j ACCEPT

# 拒绝所有其他IP访问80端口
iptables -A INPUT -p tcp --dport 80 -j DROP

通过防火墙规则，可以确保只有特定的IP地址可以访问服务器的80端口。

5. 总结

通过Nginx的allow、deny、geo、server_name等指令，我们可以灵活地配置IP和域名访问限制。结合防火墙的使用，可以进一步增强服务器的安全性。在实际应用中，应根据具体需求选择合适的配置方法，并定期检查和更新访问控制规则，以确保服务器的安全。

希望本文对你理解和使用Nginx进行访问控制有所帮助。如果你有任何问题或建议，欢迎在评论区留言讨论。