nginx常用配置说明

news/2025/1/15 21:49:18/

1.nginx设置访问白名单

在 Nginx 中设置白名单可以通过以下步骤实现:

  1. 创建一个文本文件,用于存储白名单 IP 地址。例如,可以创建一个名为 whitelist.txt 的文件,并将允许访问的 IP 地址逐行添加到该文件中,每个 IP 地址占据一行。

  2. whitelist.txt 文件放置到 Nginx 的配置目录中,通常位于 /etc/nginx 下。

  3. 在 Nginx 配置文件中,找到针对要保护的 URL 或路径的 location 块。例如,以下示例中的 location 块用于保护 /secured 路径:

    location /secured {
        # 引入白名单文件
        include /etc/nginx/whitelist.txt;

        # 拒绝除白名单以外的所有访问
        deny all;

        # 允许白名单中的 IP 地址访问
        allow <IP 地址>;

        # 可选:允许特定网段的 IP 地址访问
        allow <IP 网段>;

        # 可选:允许多个 IP 地址或网段访问,可以用空格分隔
        allow <IP 地址/网段> <IP 地址/网段>;

        # 可选:拒绝所有其他 IP 地址的访问
        deny all;

        # 其他配置
        ...
    }
    注意,上述配置中的 <IP 地址><IP 网段> 等需要替换为实际的 IP 地址或网段,用于指定白名单中允许访问的 IP 地址。可以根据需要添加多个 allow 行来允许多个 IP 地址或网段的访问。如果没有在白名单中的 IP 地址尝试访问 /secured 路径,将会被拒绝访问。

  4. 重新加载或重启 Nginx 服务,以使配置生效。
  5. 请注意,配置白名单时要谨慎,确保只有信任的 IP 地址被添加到白名单中,以避免未经授权的访问。同时,定期检查和更新白名单,以确保只有合法的 IP 地址能够访问。

2.nginx 使用 if和map来分流

在 Nginx 中,可以使用 ifmap 指令来进行分流设置,以根据请求的条件将流量分发到不同的后端服务器或处理逻辑。以下是一个简单的示例:

http {
    map $http_user_agent $backend {
        # 定义 user agent 到后端服务器的映射关系
        default backend1.example.com;
        "~*Firefox" backend2.example.com;
        "~*Chrome" backend3.example.com;
    }

    server {
        listen 80;
        server_name example.com;

        location / {
            # 使用 if 判断条件并进行分流
            if ($http_user_agent ~* "MSIE") {
                proxy_pass http://backend1.example.com;
            }

            if ($http_user_agent ~* "Firefox") {
                proxy_pass http://backend2.example.com;
            }

            if ($http_user_agent ~* "Chrome") {
                proxy_pass http://backend3.example.com;
            }

            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
        }
    }
}

在上面的配置中,使用了 map 指令将不同的 User Agent 映射到不同的后端服务器,并使用 if 指令根据请求的 User Agent 条件进行分流,将请求代理到相应的后端服务器。

需要注意的是,if 指令在 Nginx 中使用时要小心,因为它的使用可能会引发一些不期望的问题,如配置错误、性能下降等。建议使用 map 指令来处理分流逻辑,因为它更加高效和可维护。如果使用 if 指令时要谨慎,并遵循最佳实践。例如,避免在 if 指令中使用复杂的正则表达式或多个条件,以及避免在 if 指令中修改请求头或请求体等。

3 nginx使用proxy_redirect来分流

在 Nginx 中,proxy_redirect 指令用于配置代理服务器的重定向规则,可以用来分流请求到不同的目标服务器。proxy_redirect 指令的语法如下:

proxy_redirect default replacement [flag];

其中:

  • default 是需要被替换的字符串,通常是目标服务器的域名或 IP 地址。
  • replacement 是替换后的字符串,通常是目标服务器的新域名或 IP 地址。
  • flag 是一个可选的标志,用于指定重定向规则的行为,例如 permanent 表示使用 301 永久重定向,break 表示在第一个匹配的重定向规则后停止继续处理。

以下是一个使用 proxy_redirect 进行请求分流的示例配置:

http {
    upstream backend1 {
        server backend1.example.com;
    }

    upstream backend2 {
        server backend2.example.com;
    }

    server {
        listen 80;
        server_name example.com;

        location / {
            proxy_pass http://backend1;
            proxy_redirect http://backend1 http://backend2;
        }
    }
}
在上面的示例中,当请求到达 Nginx 服务器时,会被代理到 backend1.example.com,然后通过 proxy_redirect 指令将响应中的 http://backend1 替换为 http://backend2,从而实现请求分流到不同的后端服务器。请注意,这只是一个简单的示例,实际的配置可能需要根据您的具体需求和环境进行调整。

4.nginx限制并发数

在 Nginx 中,可以通过配置一些参数来限制并发连接数,从而控制服务器的负载和性能。以下是一些常见的方法:

  1. worker_connections 参数:worker_connections 参数指定了每个 worker 进程可以同时处理的最大连接数。它的默认值通常是 512 或者 1024,可以根据服务器的性能和负载情况进行调整。例如,可以在 Nginx 配置文件中的 events 部分添加如下配置来设置 worker_connections 参数的值为 1024:

events {
    worker_connections 1024;
}
  2.worker_processes 参数:worker_processes 参数指定了 Nginx 使用的 worker 进程数。每个 worker 进程都可以处理一定数量的连接,因此通过调整 worker_processes 参数的值,可以间接地限制并发连接数。例如,可以在 Nginx 配置文件中的 events 部分添加如下配置来设置 worker_processes 参数的值为 4

events {
    worker_processes 4;
}
3.limit_conn_module 模块:Nginx 提供了一个 limit_conn_module 模块,它可以用来限制并发连接数。可以在 Nginx 配置文件中使用 limit_conn 指令来设置每个 IP 地址的最大并发连接数。例如,以下配置会限制每个 IP 地址的并发连接数为 10:

http {
    limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;
    server {
        location / {
            limit_conn conn_limit_per_ip 10;
            # 其他配置...
        }
    }
}
4.limit_req_module 模块:Nginx 还提供了一个 limit_req_module 模块,它可以用来限制请求速率。可以使用 limit_req 指令来设置每个 IP 地址的请求速率和请求的最大数量。例如,以下配置会限制每个 IP 地址的请求速率为 10 req/s,且最多处理 100 个请求:

http {
    limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=10r/s;
    server {
        location / {
            limit_req zone=req_limit_per_ip burst=100;
            # 其他配置...
        }
    }
}
这些方法可以根据需要进行组合使用,以实现对并发连接数的精细控制。需要注意的是,合理地配置并发连接数限制参数可以保护服务器免受恶意请求和过载攻击,但设置过低可能会影响服务器的性能和响应能力,因此需要根据实际情况进行调整。

5.在nginx 日志中获取get、post请求参数

在 Nginx 的日志中,默认情况下是不会记录 GET 和 POST 请求的参数的。Nginx 的访问日志只记录了请求的一般信息,如访问时间、客户端 IP、请求方法、请求的 URL 等。

如果你需要在 Nginx 的日志中记录 GET 和 POST 请求参数,可以通过配置 Nginx 的日志格式来实现。下面是一个示例,展示如何配置 Nginx 访问日志格式来记录 GET 和 POST 请求参数:

http {
    # ... 其他配置 ...
    
    log_format custom_log '$remote_addr - $remote_user [$time_local] '
                        '"$request" $status $body_bytes_sent '
                        '"$http_referer" "$http_user_agent" '
                        'GET: $arg_param1=$arg_value1&$arg_param2=$arg_value2 '
                        'POST: $request_body';

    access_log /var/log/nginx/access.log custom_log;
    
    # ... 其他配置 ...
}

在上面的配置中,我们定义了一个名为 custom_log 的日志格式,其中包含了 GET 和 POST 请求参数的记录。$arg_param1$arg_param2 表示 URL 查询字符串中的参数名,$arg_value1$arg_value2 表示对应的参数值;$request_body 表示 POST 请求的请求体。

然后,我们将这个自定义的日志格式 custom_log 应用到 access_log 指令中,将访问日志记录到 /var/log/nginx/access.log 文件中。

请注意,开启记录 GET 和 POST 请求参数的日志可能会涉及到隐私和安全方面的考虑,因为请求参数可能包含敏感信息。在实际应用中,应谨慎处理日志中的敏感信息,确保符合相关法律法规和隐私政策的要求。同时,建议在生产环境中禁用记录请求参数的日志,以减少潜在的安全风险。

6.nginx配置开启跨域访问

要在nginx中配置允许跨域访问,可以使用以下方法:

要在nginx中配置允许跨域访问,可以使用以下方法:

  1. 添加CORS头信息:在nginx的配置文件中,可以使用add_header指令来添加CORS(Cross-Origin Resource Sharing)头信息。例如,以下配置将允许所有来源(*)的请求访问该服务器,并允许使用GETPOSTPUTDELETE等HTTP方法:

location / {
    add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, OPTIONS';
    add_header 'Access-Control-Allow-Headers' 'DNT, X-Mx-ReqToken, Keep-Alive, User-Agent, X-Requested-With, If-Modified-Since, Cache-Control, Content-Type';
}

2.配置CORS的具体规则:如果你想为特定的来源或URL配置CORS规则,可以使用if语句结合$http_origin变量来实现。以下示例配置了只允许example.com域名下的请求访问该服务器:

location / {
    if ($http_origin ~* (http://example\.com)$) {
        add_header 'Access-Control-Allow-Origin' '$http_origin';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT, X-Mx-ReqToken, Keep-Alive, User-Agent, X-Requested-With, If-Modified-Since, Cache-Control, Content-Type';
    }
}

3.处理预检请求(OPTIONS请求):当浏览器发送带有自定义头信息、使用PUT、DELETE等非简单请求方法的跨域请求时,会先发送一个OPTIONS请求进行预检。可以使用以下配置来处理OPTIONS请求:

location / {
    if ($request_method = OPTIONS) {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT, X-Mx-ReqToken, Keep-Alive, User-Agent, X-Requested-With, If-Modified-Since, Cache-Control, Content-Type';
        add_header 'Content-Length' 0;
        add_header 'Content-Type' 'text/plain charset=UTF-8';
        return 200;
    }
    # 其他请求处理逻辑
}
需要注意的是,配置CORS时要谨慎,避免将Access-Control-Allow-Origin设置为通配符*,除非你确定服务器上的资源对任何来源都是安全的。最好根据实际需求配置具体的来源或URL,以增强安全性。同时,还应该遵循CORS的安全策略,不允许不安全的跨域请求访问服务器上的敏感信息。


http://www.ppmy.cn/news/51567.html

相关文章

HDCTF

Welcome To HDCTF 2023 看源码找到game.js 找到这一串 放到控制台运行即可 SearchMaster 题目让post提交一个data 随便传一个在页面执行了 当传入{时他会报错&#xff0c;看报错信息发现 Smarty&#xff0c;猜测Smarty的ssti&#xff0c;数据发送到前端 用{if}标签即可 {…

FPGA学习笔记(三):PLL 锁相环

在 FPGA 芯片内部集成了 PLL(phase-locked loop&#xff0c;锁相环)&#xff0c;可以倍频分频&#xff0c;产生其它时钟类型。PLL 是 FPGA 中的重要资源&#xff0c;因为一个复杂的 FPGA 系统需要不同频率、相位的时钟信号&#xff0c;一个 FPGA 芯片中 PLL 的数量是衡量 FPGA …

Java中的异常处理机制

1. 异常机制存在的必要性 首先明确&#xff0c;程序一旦发生异常&#xff0c;如果没有被处理&#xff0c;程序就会非正常终止。 紧接着来看一段代码&#xff0c;在以下代码中&#xff0c;以为对数组进行了越界访问&#xff0c;导致程序运行中断&#xff0c;提前结束。导致后面…

Centos 搭建共享数据发布服务器

Centos 搭建共享数据发布服务器 1. 下载系统镜像2. 制作系统盘3. 制作系统3.1 BIOS设置3.2 安装系统3.3 重做系统 4 配置服务器4.1 挂载硬盘4.2 配置账号4.3 配置samba4.4 配置ftp1. 安装ftp2. 配置ftp 5. 验证5.1 验证ftp5.2 验证samba 共享服务器策略简述&#xff1a; smb提…

坚持刷题2个月,终于去了梦寐以求的大厂....

写在前面 最近一个读者和我反馈&#xff0c;他坚持刷题2个月&#xff0c;终于去了他梦寐以求的大厂&#xff0c;薪资涨幅非常可观&#xff0c;期间面字节跳动还遇到了原题…并表示目前国内的大厂和一些独角兽&#xff0c;已经越来越效仿硅谷公司的做法&#xff0c;通过面试给定…

人机识别技术再升级,AIGC为验证码带来万亿种新变化

网上输入关键词“破解验证码”&#xff0c;会出现1740万个搜索结果。“验证码识别、轻松破解、暴力破解、逻辑漏洞破解、简单破解”等等各类关键词的内容&#xff0c;不一而足&#xff0c;关于“如何用破解某某验证码”的帖子更是多如牛毛。 搜索引擎的相关结果 2017年&#xf…

Postgis导出shp和gdb数据库(Postgre入门九)

背景 有时候我们需要将postgis数据库中的空间数据表导出shp格式,而PG自带的PostGIS Shapefile Import/Export Manager 导出shp大部分时候是可以用的,但是它有个缺点是,当shp字段名称超过10个字节时,字段会被切掉,如字段“afdskskkfkfjdj”被切掉后是“afdskskkfk”,所以…

【深度学习】计算分类模型的分类指标,计算accuracy_top-1、accuracy_top-5、precision、recall和f1_score

计算accuracy_top-1、accuracy_top-5、precision、recall和f1_score&#xff1a; &#xff08;1&#xff09;accuracy_top-1 np.sum(np.argmax(preds, axis1) np.argmax(actual, axis1)) / actual.shape[0] accuracy_top-1指标是假设预测数据中&#xff0c;最大值的index就是…