Quiero restringir el acceso por IP para un archivo php específico en Nginx reverse_proxy. así que en mi ruta de host virtual /etc/nginx/sites-available/sub.mydmn.com
tengo las siguientes configuraciones:
server { server_name wwww.sub.mydmn.com sub.mydmn.com; root /home/mydmn/; access_log off; # Static contents location ~* ^.+.(png|mp4|jpeg)$ { expires max; } # Limit IP access location = /mine.php { allow <MyIP_Here>; deny all; return 404; } # Dynamic content, forward to Apache location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $host; proxy_pass http://127.0.0.1:8080; } } # Deny server with IP access! server { listen 80 default_server; server_name _; location / { return 403; } }
Pero cuando inicio el servidor, Nginx bloquea todas las IP para mine.php
. ¿Cuál es el problema?
Nginx elige un solo bloque de location
para procesar una solicitud (consulte este documento ). Tu location = /mine.php
, no solo devuelve un estado 403 si se niega la dirección IP, sino que también devuelve un estado 404 si la dirección IP está permitida. Necesita que el servicio maneje la solicitud en el puerto 8080 si la dirección IP está permitida.
Una solución es duplicar las declaraciones de la location /
bloque.
Por ejemplo:
proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $host; location = /mine.php { allow ...; deny all; proxy_pass http://127.0.0.1:8080; } location / { proxy_pass http://127.0.0.1:8080; }
Tenga en cuenta que las declaraciones proxy_set_header
se pueden mover al bloque externo para que ambos bloques las hereden. Vea este documento para más detalles.