Nginx配置allow和deny指令的使用_Redis

介绍

在 nginx 配置中，allow 和 deny 指令用于基于 ip 地址的访问控制，帮助管理员灵活管理资源访问权限。本文将结合配置语法、优先级规则、应用场景及优化技巧，全面解析这两个指令的使用方法。

allow 和 deny 属于 ngx_http_access_module 模块，默认已集成在 nginx 中（除非编译时通过 --without-http_access_module 禁用）。其语法如下：

allow <ip地址|cidr|unix: | all>;
deny <ip地址|cidr|unix: | all>;

nginx 采用 “顺序优先，首次匹配” 的规则：

location / {
    deny 192.168.1.1;        # 拒绝单个 ip
    allow 192.168.1.0/24;    # 允许整个网段
    deny all;                # 拒绝其他所有 ip
}

location /admin {
    allow 192.168.1.0/24;
    deny all;
    error_page 403 /custom_403.html;  # 自定义错误页面
}

仅允许内网访问 /admin，其他 ip 返回 403 并跳转至自定义页面。

location /api {
    allow 203.0.113.5;
    deny all;
    proxy_pass http://backend;
}

仅允许特定 ip 访问 api，防止未授权调用。

location /public {
    allow all;
}

location /private {
    allow 10.0.0.0/8;
    deny all;
}

不同路径设置独立的访问策略，兼顾灵活性与安全性。

当 nginx 位于代理后方时，需通过 x-forwarded-for 获取真实客户端 ip：

set_real_ip_from 10.0.0.0/8;   # 信任的代理服务器 ip 段
real_ip_header x-forwarded-for;
real_ip_recursive on;           # 排除可信代理 ip，获取真实客户端 ip

避免误判代理服务器 ip 为客户端地址。

大规模 ip 规则时，geo 模块可提升匹配效率：

geo $blocked_ip {
    default 0;
    192.168.1.0/24 1;
    10.0.0.5 1;
}

server {
    if ($blocked_ip) {
        return 403;
    }
}

预定义 ip 匹配状态，减少动态规则解析开销。

结合 fail2ban 或 iptables 自动封禁恶意 ip：

错误示例：

allow all;
deny 192.168.1.1;  # 此规则失效！

正确写法应先拒绝再允许：

deny 192.168.1.1;
allow all;

未设置 real_ip_header 时，allow/deny 可能基于代理服务器 ip 而非客户端 ip，导致错误封禁。

若需独立控制 ipv6，需显式指定：

allow 2001:0db8::/32;
deny 2001:0db8::1;

合并规则：使用 cidr 减少条目，如将多个 /24 合并为 /16。
分文件管理：通过 include 引入外部规则文件，提升可维护性：
```
include /etc/nginx/conf.d/ip-whitelist.conf;
deny all;
```
避免过度使用 if：if 指令可能引发性能问题，优先在 location 或 server 块中配置规则。