Linux怎么配置Nginx禁止通过IP直接访问 Nginx默认空主机头详解

系统教程

上线前必须禁止IP访问和空主机头,否则未备案域名解析到服务器IP可能导致被封IP;Nginx中default_server指定默认兜底server块,server_name _仅作占位拒绝非法Host头,二者常共用但不等价。

直接禁止 IP 访问和空主机头,是上线前必须做的安全动作。否则别人把未备案域名解析到你的服务器 IP,你可能被监管部门直接封 IP。

nginx 配置中 default_serverserver_name _ 的作用区别

default_server 标识该 server 块为监听端口的默认兜底入口;server_name _ 是一个约定俗成的“通配空主机头”写法,本身不匹配任何真实域名,只起占位作用。两者常一起用,但不是等价的:default_server 决定谁兜底,server_name _ 是为了显式拒绝非法 Host 头。

常见错误是只写 server_name _ 却没加 default_server,结果请求仍落到其他 server 块里——因为 Nginx 会按配置顺序找第一个能匹配的 server,而不是按 server_name 是否为空判断。

  • 必须确保只有一个 listen 80 default_server(同理 443 default_server ssl
  • 已有其他 server 块含 default_server,新增兜底块前得先删掉旧的,否则 nginx -t 会报错
  • server_name _ 不是必须的,但加上更明确,避免被人误读为遗漏配置

禁止 IP 访问和未绑定域名的标准配置写法

最稳妥的做法是新建一个独立 server 块,放在 http{} 内、所有业务 server 块之前或之后(只要语法层级正确):

server {
    listen 80 default_server;
    server_name _;
    return 444;
}

return 444 是 Nginx 特有状态码,表示直接断开连接,比 403500 更干净,不会返回任何响应体,也减少日志噪音。如果需要返回友好提示页,可改用 return 403 + 自定义 error_page 403 /403.html

ProfilePicture.AI

在线创建自定义头像的工具

  • HTTPS 同理,需额外加一个 server 块:listen 443 ssl default_server,并配上最小化 SSL 配置(哪怕只是占位用的自签证书)
  • 若用 rewrite 跳转到主站,比如 rewrite ^(.*) http://www.example.com permanent;,反而会让恶意解析获得有效流量,不推荐
  • 别在业务 server 块里用 if ($host != "xxx") { return 403; },Nginx 官方明确不建议在 server 级用 if,容易出意外交互

Apache 下如何等效禁止空主机头

Apache 没有 default_server 概念,靠配置顺序决定默认虚拟主机:第一个 就是兜底项。所以要把拦截配置放在所有业务 VirtualHost 之前:

    ServerName invalid
    ErrorDocument 403 "Forbidden"
    
        Require all denied
    

关键点是 ServerName invalid(任意非真实域名),配合 Require all denied。不能留空或写 _,Apache 不识别这个写法。

  • Apache 的 VirtualHost 必须有 ServerName,否则启动时警告,且可能不生效
  • 如果用了 mod_ssl,HTTPS 同样需要一个排在最前的 块做兜底
  • 注意 SELinux 或防火墙是否放行了 80/443,否则测试时看似配置生效,实则是连接被系统层拦截

真正容易被忽略的是 HTTPS 兜底配置——很多人只处理了 80 端口,却忘了 443。只要攻击者把未备案域名配了 HTTPS 解析,照样能命中你的证书并访问成功。所以 default_server 必须同时覆盖两个端口,且 SSL 配置要能通过语法检查,哪怕只是临时证书。

本文地址:https://www.vszh.cn/article/1436765.html

如非特殊说明,本站内容均来自于网友自主分享,如有任何问题均请联系我们进行处理!

猜您喜欢