Nginx防盗链

 

思路和httpd的一样，由于和过期时间，不记录日志有部分重合，可以把两部分结合在一起，配置如下：

vim /usr/local/nginx/conf/vhost/.conf

location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$

{

    expires 7d;

    valid_referers none blocked server_names  * ;

    if ($invalid_referer) {

        return 403;

    }

    access_log off;

}

测试过程如下：

/usr/local/nginx/sbin/nginx -t    //检测是否有错误

/usr/local/nginx/sbin/nginx -s reload   //重新加载

curl -x127.0.0.1:80 -I -e "http://aaa.com/1.txt" 1.gif   //403

curl -x127.0.0.1:80 -I -e "   //200

 

 Nginx访问控制

需求：访问/admin/目录的请求，只允许某几个IP访问，配置如下：

vim /usr/local/nginx/conf/vhost/.conf

location /admin/

{

    allow 192.168.174.128;

    allow 127.0.0.1;

    deny all;

}

 

mkdir /data/wwwroot/

echo “test,test”>/data/wwwroot/

-t && -s reload

curl -x127.0.0.1:80 -I

curl -x192.168.174.128:80 -I

可以匹配正则

 

location ~ .*(upload|image)/.*\.php$

{

        deny all;

}

根据user_agent限制

if ($http_user_agent ~ 'Spider/3.0|YoudaoBot|Tomato')

{

      return 403;

}

deny all和return 403效果一样

 

 mkdir /data/wwwroot/upload

echo “test,test”>/data/wwwroot/upload/1.php

 curl -x127.0.0.1:80 php -I

 

echo “11111txt11111txt1111txt”>/data/wwwroot/upload/1.txt

curl -x127.0.0.1:80 txt -I

 

 

可以再查看一下日志

cat /tmp/test.com.log

 

 

Nginx解析php的配置

vi /data/wwwroot/

<?php

phpinfo();

配置如下：

vim /usr/local/nginx/conf/vhost/.conf

location ~ \.php$

    {

        include fastcgi_params;

        fastcgi_pass unix:/tmp/php-fcgi.sock;

        fastcgi_index index.php;

        fastcgi_param SCRIPT_FILENAME /data/wwwroot/$fastcgi_script_name;

    }

 fastcgi_pass 用来指定php-fpm监听的地址或者socket，如果php-fpm监听的是一个tcp：port的地址（比如127.0.0.1:9000），那么也需要在这里改成fastcgi_pass 127.0.0.1:9000;这个地址一定要和php-fpm服务监听的地址匹配，否则会报502错误。

curl -x127.0.0.1:80

 

如果502 ，或者哪里配置错了，可以查看日志

tail /usr/local/nginx/logs/nginx_error.log

或者查看ip端口  sock的配置    nginx和php-fpm的配置要对应好

/usr/local/php-fpm/etc/php-fpm.conf

还有一种情况是php-fpm资源耗尽，要优化

 

 Nginx代理

 

cd /usr/local/nginx/conf/vhost

 vim proxy.conf //加入如下内容

server{    listen 80;    server_name ask.apelearn.com;    location /    {        proxy_pass      http://121.201.9.155/;        proxy_set_header Host   $host;        proxy_set_header X-Real-IP      $remote_addr;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;    }}/usr/local/nginx/sbin/nginx -t    //检测是否有错误/usr/local/nginx/sbin/nginx -s reload   //重新加载测试： curl -x127.0.0.1:80 ask.apelearn.com/robots.txt

 

扩展

502问题汇总 

location优先级