Nginx禁止IP访问只允许域名设置方法

本文深入解析了在Linux环境下通过Nginx安全实现“禁止IP直接访问、仅允许指定域名访问”的最佳实践，强调必须使用`default_server`机制而非`if`判断——因其在SSL握手后、请求解析前即生效，具备底层可靠性，可有效抵御恶意构造的Host头（如带端口、空格或非法字符）绕过，避免HTTPS下IP直连意外落入业务块等常见安全隐患；文章不仅给出HTTP/HTTPS双协议下返回444（强制关闭连接）的标准化配置模板和关键细节（如`server_name _`占位、证书必填、位置前置、域名显式列举等），还指出易错点与精准验证方法（推荐用curl而非浏览器测试），帮助运维人员规避兼容性漏洞与逻辑陷阱，真正实现简洁、健壮、符合Nginx设计语义的安全访问控制。

直接加一个 default_server 的兜底 server 块，返回 403 或 444，是最稳妥、最符合 Nginx 语义的做法。其他写法（比如在业务 server 里用 if ($host != ...)）容易出兼容性或逻辑漏洞。

为什么必须用 default_server 而不是 if 判断

Nginx 的 if 在 server 级别不支持 return 或 rewrite（部分版本会静默忽略），且 $host 可能被恶意构造（如带端口、空格、多余头字段），导致绕过判断。而 default_server 是 Nginx 自身的路由机制，在 SSL 握手后、请求解析前就已生效，更底层、更可靠。

常见错误现象：

• if ($host != "example.com") { return 403; } 在某些 Nginx 版本下完全不生效
• HTTPS 请求中，若未配置 listen 443 ssl default_server，IP 直连仍可能落到业务 server 块
• 客户端发 Host: example.com:8080 或 Host: \texample.com，if 判断可能失效

default_server 的正确写法和位置

这个 server 块必须放在所有业务 server 块之前，且显式声明 default_server。HTTP 和 HTTPS 需分别配置：

server {
    listen 80 default_server;
    listen [::]:80 default_server;
    server_name _;
    return 444;  # 推荐用 444（关闭连接），比 403 更干净
}
<p>server {
listen 443 ssl default_server;
listen [::]:443 ssl default_server;
server<em>name </em>;
ssl_certificate /path/to/placeholder.crt;
ssl_certificate_key /path/to/placeholder.key;
return 444;
}</p>

注意点：

• server_name _; 是通配占位符，匹配所有未显式声明的 Host
• HTTPS 必须提供有效的证书路径，否则 Nginx 启动失败；可临时用自签证书，但不能留空
• 不要在业务 server 的 listen 行保留 default_server，否则冲突报错

业务 server 块里只写明确域名

每个实际对外服务的 server，server_name 必须是具体域名，多个域名用空格分隔，不加通配符：

server {
    listen 80;
    server_name example.com www.example.com;
    location / {
        root /var/www/html;
        index index.html;
    }
}

关键细节：

• 如果需要支持 www 和裸域，两个都得列全，Nginx 不自动补全
• 不要写 server_name *.example.com; —— 这是无效语法，Nginx 不支持通配符域名匹配（除非用正则，但不推荐用于此场景）
• 若使用 CDN 或反向代理，确保上游传来的 Host 头未被篡改，否则 default_server 可能无法触发

验证和调试最容易被忽略的点

配置 reload 后，别只测浏览器输 IP —— 很多浏览器会自动补 http:// 或跳转，掩盖真实行为。用 curl 直接测最准：

curl -I http://192.168.1.100
curl -I -H "Host: evil.com" http://192.168.1.100
curl -I https://192.168.1.100

预期结果全是 HTTP/1.1 444 或连接被重置。如果返回 200 或 301，说明：

• 没加 default_server，或者加在了错误位置（被后面块覆盖）
• HTTPS 的 default_server 缺少证书，Nginx 回退到第一个可用的 server
• 防火墙或云厂商 SLB 拦截了 444，显示为超时或空响应

真正麻烦的是混合环境：既有公网 IP 直连需求（如内部监控），又有对外域名访问。这时候不能一刀切 return 444，得结合 allow/deny 或按 $remote_addr 分流 —— 但那就超出“禁止 IP 只允域名”的原始目标了。

本篇关于《Nginx禁止IP访问只允许域名设置方法》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！