发表于: 更新于: 浏览: 948

网站的服务器如果可以直接通过IP访问到那肯定是有隐患的,所以大部分的网站都会将服务器的IP直接访问给禁掉。

http访问

网站如果没有开启https访问,我们只需要添加一个简单的默认server即可。

    server {
        listen   80 default_server;
        server_name  _;
        return 403;
    }

server_name不填都可以,主要就是利用nginx的默认server来实现,匹配规则时如果没有匹配到我们配置的正常规则就会使用默认的server,然后返回设置的code。code为403则会返回一个nginx的403页面,返回其他非常规http code则会直接与客户端断开连接。

https访问

网站如果开启了https访问就需要在监听80端口的同时监听443端口,否则使用https加IP还是能直接访问到网站。但是这次就不是简单的加个监听443端口就可以的,还需要将https证书也配置上,否则nginx将无法启动。

    server {
        listen   80 default_server;
        listen   443 default_server;

        server_name  _;

	#ssl证书配置,可以使用域名的证书配置
        ssl_certificate cert/yourcrt.crt;
        ssl_certificate_key cert/yourkey.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
        ssl_prefer_server_ciphers on;

        return 403;
    }

遭遇的坑

我之前就是以为http的监听80端口,加个443端口就可以同时把两种访问方式都禁掉,事实是我异想天开了,也是对nginx了解的不够深入。于是就一直启动不起来,查看日志提示信息是下面的内容。
no "ssl_certificate" is defined for the "listen ... ssl" directive in /etc/nginx/nginx.conf:40

经过一番查阅资料得知只要是对https的处理都需要证书,还发现让IP的server使用域名的证书也可以通过检查。