【问题标题】:Nginx reverse proxy, only allow connection from hostname not ipNginx 反向代理,只允许来自主机名而不是 ip 的连接
【发布时间】:2016-03-21 23:46:56
【问题描述】:

是否可以只允许用户输入 xxxxxx.com(虚构),所以他们应该进行 DNS 查找并连接。并阻止使用我的公共 ip 连接的用户?

配置:

server {
listen 80;
return 301 https://$host$request_uri;
}

server {

listen 443;
server_name xxxxxxx.com;

ssl_certificate           /etc/nginx/ssl/server.crt;
ssl_certificate_key       /etc/nginx/ssl/server.key;

ssl on;
ssl_session_cache  builtin:1000  shared:SSL:10m;
ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
ssl_prefer_server_ciphers on;

access_log            /var/log/nginx/jenkins.access.log;

location / {

  proxy_set_header        Host $host;
  proxy_set_header        X-Real-IP $remote_addr;
  proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_set_header        X-Forwarded-Proto $scheme;

  # Fix the “It appears that your reverse proxy set up is broken" error.
  proxy_pass          http://10.0.11.32:80;
  proxy_read_tenter code hereimeout  360;

  proxy_redirect      http://10.0.11.32:80 https://xxxxxxx.com;
}
}

【问题讨论】:

    标签: nginx dns reverse-proxy hostname


    【解决方案1】:

    $http_host 参数设置为Host 请求标头的值。 nginx 使用该值来选择 server 块。如果没有找到server 块,则使用默认服务器,它要么标记为default_server,要么是遇到的第一个server 块。见this documentation

    要强制 nginx 只接受命名请求,请使用 catch all 服务器块来拒绝其他任何内容,例如:

    server {
        listen 80 default_server;
        return 403;
    }
    
    server {
        listen 80;
        server_name www.example.com;
        ...
    }
    

    对于 SSL 协议,这取决于您是否启用了SNI。如果您不使用 SNI,则所有 SSL 请求都通过相同的 server 块,在这种情况下,您将需要使用 if 指令来测试 $http_host 值的值。详情请参阅thisthis

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2017-02-28
      • 2017-10-24
      • 2021-03-09
      • 1970-01-01
      • 1970-01-01
      • 2021-03-17
      • 1970-01-01
      相关资源
      最近更新 更多