首页 > 文章 > linux

Linux下Nginx禁止IP访问设置方法

时间：2026-04-21 18:15:59 320浏览收藏

上线前必须严格禁止通过IP地址或未绑定域名直接访问服务器，否则未备案域名解析到你的IP可能导致监管封禁；本文详解Nginx中通过`listen 80/443 default_server`配合`server_name _`和`return 444`实现安全兜底的正确配置方法，厘清`default_server`（决定默认入口）与`server_name _`（显式拒绝非法Host头）的本质区别及常见误用，并延伸说明Apache的等效防护策略，特别强调HTTPS端口兜底常被忽视却至关重要的风险——只配HTTP不配HTTPS，攻击者仍可借HTTPS恶意解析成功穿透。

Linux怎么配置Nginx禁止通过IP直接访问 Nginx默认空主机头详解

直接禁止 IP 访问和空主机头，是上线前必须做的安全动作。否则别人把未备案域名解析到你的服务器 IP，你可能被监管部门直接封 IP。

nginx 配置中 `default_server` 和 `server_name _` 的作用区别

default_server 标识该 server 块为监听端口的默认兜底入口；server_name _ 是一个约定俗成的“通配空主机头”写法，本身不匹配任何真实域名，只起占位作用。两者常一起用，但不是等价的：default_server 决定谁兜底，server_name _ 是为了显式拒绝非法 Host 头。

常见错误是只写 server_name _ 却没加 default_server，结果请求仍落到其他 server 块里——因为 Nginx 会按配置顺序找第一个能匹配的 server，而不是按 server_name 是否为空判断。

必须确保只有一个 listen 80 default_server（同理 443 default_server ssl）
已有其他 server 块含 default_server，新增兜底块前得先删掉旧的，否则 nginx -t 会报错
server_name _ 不是必须的，但加上更明确，避免被人误读为遗漏配置

禁止 IP 访问和未绑定域名的标准配置写法

最稳妥的做法是新建一个独立 server 块，放在 http{} 内、所有业务 server 块之前或之后（只要语法层级正确）：

server {
    listen 80 default_server;
    server_name _;
    return 444;
}

return 444 是 Nginx 特有状态码，表示直接断开连接，比 403 或 500 更干净，不会返回任何响应体，也减少日志噪音。如果需要返回友好提示页，可改用 return 403 + 自定义 error_page 403 /403.html。

HTTPS 同理，需额外加一个 server 块：listen 443 ssl default_server，并配上最小化 SSL 配置（哪怕只是占位用的自签证书）
若用 rewrite 跳转到主站，比如 rewrite ^(.*) http://www.example.com permanent;，反而会让恶意解析获得有效流量，不推荐
别在业务 server 块里用 if ($host != "xxx") { return 403; }，Nginx 官方明确不建议在 server 级用 if，容易出意外交互

Apache 下如何等效禁止空主机头

Apache 没有 default_server 概念，靠配置顺序决定默认虚拟主机：第一个就是兜底项。所以要把拦截配置放在所有业务 VirtualHost 之前：

<VirtualHost *:80>
    ServerName invalid
    ErrorDocument 403 "Forbidden"
    <Location "/">
        Require all denied
    </Location>
</VirtualHost>

关键点是 ServerName invalid（任意非真实域名），配合 Require all denied。不能留空或写 _，Apache 不识别这个写法。