Nginx访问控制 —— deny_allow

Nginx的deny和allow指令是由ngx_http_access_module模块提供，Nginx安装默认内置了该模块。
除非在安装时有指定 --without-http_access_module。
语法：allow/deny address | CIDR | unix: | all

它表示，允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问。
注意：unix在1.5.1中新加入的功能。

在nginx中，allow和deny的规则是按顺序执行的。
示例1

location /
{
    allow 192.168.0.0/24;
    allow 127.0.0.1;
    deny all;
}

说明：这段配置值允许192.168.0.0/24网段和127.0.0.1的请求，其他来源IP全部拒绝。
示例2：

location ~ "admin"
{
    allow 110.21.33.121;
    deny all
}

说明：访问的uri中包含admin的请求，只允许110.21.33.121这个IP的请求。

基于location的访问控制

在生产环境中，我们会对某些特殊的请求进行限制，比如对网站的后台进行限制访问。这就用到了location配置。
示例1

location /admin/
{
    deny all;
}

说明：针对/admin/目录，全部禁止访问，这里的deny all可以改为return 403.
示例2

location ~ ".bak|\.ht"
{
    return 403;
}

说明：访问的uri中包含.bak字样的或者包含.ht的直接返回403状态码。

测试链接举例：
www.aminglinux.com/123.bak
www.aminglinux.com/aming/123/.htalskdjf

示例3

location ~ (data|cache|tmp|image|attachment).*\.php$
{
    deny all;
}

说明：请求的uri中包含data、cache、tmp、image、attachment并且以.php结尾的，全部禁止访问。

测试链接举例：

www.aminglinux.com/aming/cache/1.php
www.aminglinux.com/image/123.phps
www.aminglinux.com/aming/datas/1.php

基于$document_uri的访问控制

这就用到了变量uri，其实也等价于location匹配。
示例1

if ($document_uri ~ "/admin/")
{
    return 403;
}

说明：当请求的uri中包含/admin/时，直接返回403.
if结构中不支持使用allow和deny。

测试链接：
www.aminglinux.com/123/admin/1.html 匹配
www.aminglinux.com/admin123/1.html 不匹配
www.aminglinux.com/admin.php 不匹配

示例2

if ($document_uri = /admin.php)
{
    return 403;
}

说明：请求的uri为/admin.php时返回403状态码。
测试链接：

4. www.aminglinux.com/admin.php 匹配
5. www.aminglinux.com/123/admin.php 不匹配

示例3

if ($document_uri ~ '/data/|/cache/.*\.php$')
{
    return 403;
}

说明：请求的uri包含data或者cache目录，并且是php时，返回403状态码。

测试链接：

6. www.aminglinux.com/data/123.php 匹配
7. www.aminglinux.com/cache1/123.php 不匹配

基于$request_uri访问控制

docuemnt_uri多了请求的参数。
主要是针对请求的uri中的参数进行控制。
示例

if ($request_uri ~ "gid=\d{9,12}")
{
    return 403;
}

说明：\d{9,12}是正则表达式，表示9到12个数字，例如gid=1234567890就符号要求。
测试链接：

www.aminglinux.com/index.php?gid=1234567890&pid=111 匹配
www.aminglinux.com/gid=123 不匹配
背景知识：
曾经有一个客户的网站cc攻击，对方发起太多类似这样的请求：/read-123405150-1-1.html
实际上，这样的请求并不是正常的请求，网站会抛出一个页面，提示帖子不存在。
所以，可以直接针对这样的请求，return 403状态码。

基于$user_agent的访问控制

user_agent大家并不陌生，可以简单理解成浏览器标识，包括一些蜘蛛爬虫都可以通过user_agent来辨识。
通过观察访问日志，可以发现一些搜索引擎的蜘蛛对网站访问特别频繁，它们并不友好。
为了减少服务器的压力，其实可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬虫全部封掉。
另外，一些cc攻击，我们也可以通过观察它们的user_agent找到规律。
示例

if ($user_agent ~ 'YisouSpider|MJ12bot/v1.4.2|YoudaoBot|Tomato')
{
    return 403;
}

说明：user_agent包含以上关键词的请求，全部返回403状态码。
测试：

curl -A “123YisouSpider1.0”
curl -A “MJ12bot/v1.4.1”

基于$http_referer的访问控制

之前说过这个变量，当时实现了防盗链功能。
其实基于这个变量，我们也可以做一些特殊的需求。
示例
背景：网站被黑挂马，搜索引擎收录的网页是有问题的，当通过搜索引擎点击到网站时，却显示一个博彩网站。
由于查找木马需要时间，不能马上解决，为了不影响用户体验，可以针对此类请求做一个特殊操作。
比如，可以把从百度访问的链接直接返回404状态码，或者返回一段html代码。

if ($http_referer ~ 'baidu.com')
{
    return 404;
}
或者
if ($http_referer ~ 'baidu.com')
{
    return 200 "<html><script>window.location.href='//$host$request_uri';</script></html>";
}

Nginx抗Ddos,限速

可以通过ngx_http_limit_conn_module和ngx_http_limit_req_module模块来实现限速的功能。这两个模块是安装nginx时默认安装的。

ngx_http_limit_conn_module

该模块主要限制下载速度，针对每个IP的限速；
$binary_remote_addr获取到IP作为一个参数；

并发限制
配置示例

http
{
    ...
    limit_conn_zone $binary_remote_addr zone=aming:10m; #这三句直接放到http里(nginx.conf);
    limit_conn_status 503;  #限制时返回503; 
    limit_conn_log_level error;     #模块的错误日志级别；
    ...
    server
    {
        ...
        limit_conn aming 2;
        ...   
    }
}

说明：首先用limit_conn_zone定义了一个内存区块索引aming，大小为10m，它以$binary_remote_addr作为key。
该配置只能在http里面配置，不支持在server里配置。

limit_conn 定义针对aming这个zone，并发连接为10个。在这需要注意一下，这个10指的是单个IP的并发最多为10个。

测试方式：
具体虚拟主机配置：

server {
    listen 80;
    server_name www.aaa.com;
        root /data/wwwroot/www.aaa.com/;
        index index.html;
limit_conn aming 2; #并发数量为2;
access_log /data/logs/aaa.log main;
        }

使用ab压力测试，需要安装httpd使用

yum install httpd-tools
ab -n 5 -c 5 http://www.aaa.com/tom.tar  #命令后查看日志；-n是请求的数量，-c是并发数量；
日志结果：（由于上面并发数量为2,其他返回503;）
192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-" "192.168.87.141" 
192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-" "192.168.87.141" 
192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-" "192.168.87.141" 
192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 200 9672042 "-" "ApacheBench/2.3" "-" "192.168.87.141" 
192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 200 9672042 "-" "ApacheBench/2.3" "-" "192.168.87.141" 

ab命令的具体用法
https://www.jianshu.com/p/7a8330ac212f
2.速度限制

location ~ /download/ {
…
limit_rate_after 512k;
limit_rate 150k;
…
}

说明：limit_rate_after定义当一个文件下载到指定大小（本例中为512k）之后开始限速；
limit_rate 定义下载速度为150k/s。

注意：这两个参数针对每个请求限速。
ngx_http_limit_req_module

具体虚拟主机配置：

server {
    listen 80;
    server_name www.aaa.com;
        root /data/wwwroot/www.aaa.com/;
        index index.html;
#limit_conn aming 2;
limit_rate 10k;
access_log /data/logs/aaa.log main;
        }

设置后直接使用浏览器下载服务器目录里的文件，设置不同速度，需要的时间不一样。

ngx_http_limit_req_module

该模块主要用来限制请求数。请求是连接后的发起的，一个连接可以有多个请求。

1. limit_req_zone
   语法: limit_req_zone $variable zone=name:size rate=rate;
   默认值: none
   配置段: http

设置一块共享内存限制域用来保存键值的状态参数。 特别是保存了当前超出请求的数量。

键的值就是指定的变量（空值不会被计算）。还是以IP作为参数，对每个IP请求数和请求速度作出限制；
如limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

说明：
区域名称为one，大小为10m，平均处理的请求频率不能超过每秒一次,键值是客户端IP。
使用$binary_remote_addr变量， 可以将每条状态记录的大小减少到64个字节，这样1M的内存可以保存大约1万6千个64字节的记录。
如果限制域的存储空间耗尽了，对于后续所有请求，服务器都会返回 503 (Service Temporarily Unavailable)错误。
rate速度可以设置为每秒处理请求数和每分钟处理请求数，其值必须是整数，所以如果你需要指定每秒处理少于1个的请求，2秒处理一个请求，可以使用 “30r/m”。

2.limit_req
语法: limit_req zone=name [burst=number] [nodelay];
默认值: —
配置段: http, server, location

设置对应的共享内存限制域和允许被处理的最大请求数阈值。

如果请求的频率超过了限制域配置的值，请求处理会被延迟，所以所有的请求都是以定义的频率被处理的。

超过频率限制的请求会被延迟，直到被延迟的请求数超过了定义的阈值，这时，这个请求会被终止，并返回503 (Service Temporarily Unavailable) 错误。
这个阈值的默认值为0。如：

limit_req_zone $binary_remote_addr zone=aming:10m rate=1r/s;
server {
location /upload/ {
limit_req zone=aming burst=5;
}
}

限制平均每秒不超过一个请求，同时允许超过频率限制的请求数不多于5个。

如果不希望超过的请求被延迟，可以用nodelay参数,马上返回503, 如：
limit_req zone=aming burst=5 nodelay;

示例

http {
    limit_req_zone $binary_remote_addr zone=aming:10m rate=2r/s; #把这行放在http里；

    server {
        location  ^~ /download/ {  
            limit_req zone=aming burst=5;  #生产中burst建议足够大；
        }
    }
}

测试配置

server {
    listen 80;
    server_name www.aaa.com;
        root /data/wwwroot/www.aaa.com/;
        index index.html;
 limit_req zone=aming burst=5;
access_log /data/logs/aaa.log main;
        }

ab测试命令：
ab -n 10 -c 10 www.aaa.com/tom.tar

日志结果：
发送了10个请求，六个200状态，4个503状态，除去第一个被处理的请示，同时处理了五个请求，余下超时返回503;

转发自：
https://blog.csdn.net/tanyyinyu/article/details/102835402
https://www.cnblogs.com/azhqiang/p/10231490.html
https://blog.csdn.net/panco_/article/details/89739001
https://www.sijitao.net/2556.html