公司要求,线上solr、kibana要求只能通过域名进行访问,禁止用ip+端口进行登录访问,那么,下面介绍下我是如何实现的

1、禁止ip,允许域名访问

  如下图,默认安装好nginx,不让ip方式访问,但是可以通过域名方式访问:

  域名可以访问:

  直接贴配置文件:443端口配置一样

cat nginx.conf

worker_processes  ;

events {

    worker_connections  ;

}

http {

    include       mime.types;

    default_type  application/octet-stream;

    sendfile        on;

    keepalive_timeout  ;

    server {

       listen  default; #配置此段表示用IP或其他域名访问时直接跳转到www.baidu.com,也可直接返回403

       server_name _;

       #rewrite ^ http://www.baidu.com$request_uri?;

       return ;

   }

    server {

        listen       ;

        server_name  www.kalaok.com;

        location / {

            root   html;

            index  index.html index.htm;

        }

        error_page        /50x.html;

        location = /50x.html {

            root   html;

        }

    }

}

2、solr只允许域名方式访问

  由于考虑线上solr数据的安全和重要性,禁止运维和开发人员随意登录进行相关数据增删改操作,我们需要针对solr服务器进行安全访问控制。

  

  配置iptables如下:

[root@localhost conf]# cat /etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Thu Jun  ::

*filter

:INPUT DROP [:]

:FORWARD ACCEPT [:]

:OUTPUT ACCEPT [:]

-A INPUT -i eth1 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

#202.106..226为公司公网地址

-A INPUT -s 202.106.149.226 -p tcp -m tcp --dport  -j DROP

#########  ###########################

-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP

-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP

-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP

##########################################

#

#-A INPUT -p tcp -m state --state NEW -m tcp --dport  -j ACCEPT

#-A INPUT -p tcp -m state --state NEW -m tcp --dport  -j ACCEPT

#-A INPUT -p tcp -m state --state NEW -m tcp --dport  -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport  -j ACCEPT

#-A INPUT -s 124.42.77.106/ -p tcp -m tcp --dport  -j ACCEPT

#-A INPUT -s 124.42.77.106/ -p tcp -m tcp --dport  -j ACCEPT

-A INPUT -p tcp -m tcp --dport  -j DROP

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -o eth1 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level

-A FORWARD -i eth1 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

-A OUTPUT -o eth1 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level

COMMIT

# Completed on Thu Jun  ::

  reload一下iptables,可以看到我们无法再使用ip请求数据了,下面实现通过nginx使用固定域名访问,直接贴配置:

 cat solr.conf 

server {

    listen      ;

    ## define use url to visit

    server_name  dsolr.pharmacodia.com;

    location /solr {

                #keep with the server proxy name below

                allow 202.106.149.226;

                allow 10.30.48.99;

                allow 10.173.24.183;

                deny all;

                auth_basic "data solr access";

                auth_basic_user_file /usr/local/nginx/conf/.htpasswd;

                proxy_pass   http://10.26.241.96:8888/solr;

                proxy_set_header   Host         $host;

                proxy_set_header   X-Real-IP $remote_addr;

                proxy_set_header   X-Forwarded-For $Proxy_add_x_forwarded_for;

    }

}

3、nginx添加登录认证

  如下图,实现起来很简单:

  直接贴配置文件,跟上面的solr登录认证权限一样,需要使用htpasswd工具生成密码文件

如果没有htpasswd命令使用以下命令安装

yum -y install httpd-tools

htpasswd -c /usr/local/nginx/conf/solr.passwd admin #输入两次密码

直接在server里添加

server {

        listen       ;

        server_name  www.kalaok.com;

        auth_basic "data solr access";

        auth_basic_user_file /usr/local/nginx/conf/solr.passwd;

        location / {

            root   html;

            index  index.html index.htm;

        }

        error_page        /50x.html;

        location = /50x.html {

            root   html;

        }

    }

  如果想下载站点资源,就需要在后面加上认证参数,如:--http-user=admin --http-passwd=xxxxxx

nginx禁止ip登录,只允许域名访问的更多相关文章

  1. Nginx禁止IP访问,只允许域名访问

    Nginx禁止IP访问,只允许域名访问 我们在使用nginx的过程中会遇到很多的恶意IP攻击,这个时候就要用到Nginx 禁止IP访问了. 1.直接返回403错误 server { listen de ...

  2. 设置nginx禁止IP直接访问,只能通过指定的域名访问

    nginx的版本是1.2.1. 设置配置文件disableip.conf: server {     listen 80;     server_name _;     return500; } 这是 ...

  3. Linux 如何设置只允许域名访问站点而禁止IP访问站点

    最近在论坛里看到有人问到 Linux 如何设置只允许域名访问站点而禁止IP访问站点的问题,之前自己也用过这个功能,可以防止别人用 IP 地址来访问到自己的网站,下面我就我自己的环境给出解决方法,我用的 ...

  4. Nginx 禁止IP访问

    我们在使用的时候会遇到很多的恶意IP攻击,这个时候就要用到Nginx 禁止IP访问了.下面我们就先看看Nginx的默认虚拟主机在用户通过IP访问,或者通过未设置的域名访问(比如有人把他自己的域名指向了 ...

  5. Nginx禁止ip访问或IP网段访问方法

    Nginx禁止ip访问可以防止指定IP访问我们的网站,本例子可以实现是防止单IP访问或IP网段访问了,非常的有用我们一起来看看吧. 常用的linux做法 iptables参考规则  代码如下 复制代码 ...

  6. IIS、nginx、apache只允许域名访问配置

    您开启WAF后,攻击者只能看到WAF的IP,不能看到您的IP,攻击者通过域名访问您的网站时,就会根据规则拦截. 但是如果您的网站可以输入IP地址直接访问,是无法达到防御效果的.比如(http://42 ...

  7. [转帖]nginx 禁止ip访问以及禁止post方法的简单方法

    nginx禁止IP访问站点的设置方法 http://www.512873.com/archives/471.html http://www.512873.com/archives/312.html c ...

  8. nginx 只允许域名访问,禁止IP访问

    在nginx中为了防止,通过ip地址或者没有备案的域名代理到nginx上,可以在nginx中配置来阻止这一操作 #只可以用域名访问(此处的server是新增,并不是在原有的server基础上修改),默 ...

  9. nginx只允许域名访问,禁止ip访问

    背景:为什么要禁止ip访问页面呢?这样做是为了避免其他人把未备案的域名解析到自己的服务器IP,而导致服务器被断网,我们可以通过禁止使用ip访问的方法,防止此类事情的发生. 解决方法:这里介绍修改配置文 ...

随机推荐

  1. springboot中配置过滤器以及可能出现的问题

    在springboot添加过滤器有两种方式: 1.通过创建FilterRegistrationBean的方式(建议使用此种方式,统一管理,且通过注解的方式若不是本地调试,如果在filter中需要增加c ...

  2. SDOI2019R1游记

    差点退役,真是开心 Day -2 吐了一晚上,差点死掉 被拉去医院打针,结果蛇皮的被扎了两针,真是好疼啊嘤嘤嘤 决定第二天在家里咕一天 Day -1 结果在家里也得做\(loli\)昨天的不知道从哪里 ...

  3. logrotate日志处理

    介绍 logrotate旨在简化生成大量日志文件的系统的管理.它允许日志文件的自动轮换.压缩.删除和邮件.每个日志文件可以每天.每周.每月处理,也可以在它变得太大时处理.通常,logrotate作为每 ...

  4. STM32407+LAN8720A+LWIP 实现TCP Client

    硬件 一.配置CubeMax工程 二.配置系统时钟 因为LAN8720使用的是外部25MHz的晶振,所以不需要单片机输出时钟 三.配置ETH和LWIP参数 四.更改代码 LAN8720A在初始化的时候 ...

  5. LightGBM大战XGBoost,谁将夺得桂冠?

    引 言 如果你是一个机器学习社区的活跃成员,你一定知道 提升机器(Boosting Machine)以及它们的能力.提升机器从AdaBoost发展到目前最流行的XGBoost.XGBoost实际上已经 ...

  6. c#, AOP动态代理实现动态权限控制(一)

    因最近工作需要一个动态的权限配置功能,具体实现逻辑是c#的动态代理功能,废话不多说,直接干货.需求: 用户分为管理员.普通用户 不同用户拥有不同功能权限 用户的权限可配置 新增功能时,不用修改权限配置 ...

  7. Do You Kown Asp.Net Core - 根据实体类自动创建Razor Page CURD页面模板

    Scaffolding Template Intro 我们知道在Asp.Net MVC中,如果你使用的EF的DBContext的话,你可以在vs中通过右键解决方案-添加控制器-添加包含视图的控制器,然 ...

  8. SVN服务器+客户端安装和配置

    先安装客户端.然后安装语言包,然后去小乌龟svn里设置语言为中文. svnServer推荐 subversion和 VisualSVN 网盘下载 TortoiseSVN客户端         汉化包网 ...

  9. mysql常见问题处理

    出现: Access denied for user ''@'localhost' to database ' 2.error: Found option without preceding grou ...

  10. Django生命周期 URL ----> CBV 源码解析-------------- 及rest_framework APIView 源码流程解析

    一.一个请求来到Django 的生命周期   FBV 不讨论 CBV: 请求被代理转发到uwsgi: 开始Django的流程: 首先经过中间件process_request (session等) 然后 ...