Nginx禁止IP访问配置教程

本文详解了在 phpEnv 环境下如何可靠禁用直接通过 IP 访问 Nginx 服务器的方法，直击“配置看似正确却仍失效”的痛点——根源在于 Nginx 的 server 匹配机制依赖加载顺序与唯一 default_server 标志，而 phpEnv 自动生成的多站点配置极易导致拦截块被绕过；文章不仅提供可即用的双协议（HTTP/HTTPS）拦截配置模板，强调 listen 顺序、server_name _、return 444 的安全优势及证书路径细节，更给出实操三步验证法和一个关键提醒：全局清理所有隐含的 default_server，确保你的防护块真正成为唯一的“兜底入口”，让 IP 访问彻底静默断连，不留后门。

直接在 phpEnv 的 Nginx 配置中加一个 default_server 块就能拦住 IP 访问，但必须确保它排在所有其他 server 块之前，且不能遗漏 HTTPS 监听 —— 否则 https://服务器IP 仍可能绕过。

为什么 phpEnv 下的 IP 访问禁用容易失效

phpEnv 默认会自动生成多个 server 块（比如为每个 PHP 版本、每个站点生成独立配置），而 Nginx 匹配 server 是按配置文件加载顺序 + listen 指令的 default_server 标志来决定“兜底”的。如果禁用 IP 的块被插在后面，或没带 default_server，Nginx 就会把请求交给第一个匹配的 server（通常是默认站点）。

• phpEnv 的站点配置常位于 C:\phpEnv\nginx\conf\vhost\ 下，按字母序加载，00-block-ip.conf 这类命名能保证优先加载
• Windows 下 phpEnv 多数只监听 80 端口，但若你启用了 HTTPS（比如用 Let's Encrypt 或自签证书），必须同步加 listen 443 ssl default_server，否则 https://IP 会落到某个带 ssl 的站点块里
• server_name _; 是必需的，它代表“不匹配任何显式域名”，但仅当该 server 是 default_server 时才生效

实际要加的配置块（必须放在最前）

在 C:\phpEnv\nginx\conf\nginx.conf 的 http{} 块开头，或新建 C:\phpEnv\nginx\conf\include\block-ip.conf 并在 http{} 中 include include/block-ip.conf;：

server {
    listen 80 default_server;
    listen 443 ssl default_server;
    server_name _;
    return 444;
    ssl_certificate      conf/ssl/nginx.crt;
    ssl_certificate_key  conf/ssl/nginx.key;
}

说明：

• return 444 是最干净的做法：连接直接断开，不发任何 HTTP 响应，比 403 或 500 更难被探测到后端存在
• 如果没配 SSL，删掉 listen 443 ssl default_server 和下面两行证书配置；但只要 phpEnv 里任一站点启用了 HTTPS，就必须保留并指向真实证书路径
• 证书路径是相对于 nginx.conf 所在目录的，phpEnv 默认证书放在 C:\phpEnv\nginx\conf\ssl\，所以用 conf/ssl/... 即可

验证是否生效的三个关键检查点

改完别急着 reload，先做这几件事：

• 运行 nginx -t -c C:\phpEnv\nginx\conf\nginx.conf，确认语法通过 —— phpEnv 的 nginx 可执行文件通常在 C:\phpEnv\nginx\nginx.exe
• 用 curl -I http://你的服务器IP 和 curl -Ik https://你的服务器IP 测试，应分别返回空响应（curl: (52) Empty reply from server）或连接被重置
• 检查 phpEnv 控制面板里“Nginx 日志”或直接看 C:\phpEnv\nginx\logs\error.log，如果仍有 IP 请求打到某站点，说明那个站点的 server 块意外成了 default_server（比如漏删了原配置里的 default_server）

最容易被忽略的是：phpEnv 自动生成的某些 vhost 文件里，listen 80; 后面悄悄带了 default_server，导致你手写的拦截块失效。务必全局搜索一遍所有 .conf 文件里的 default_server，只保留你主动加的那一处。

终于介绍完啦！小伙伴们，这篇关于《Nginx禁止IP访问配置教程》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！