Linux怎么配置Nginx禁止IP访问只允许域名 Nginx默认主机头详解

欢迎各位小伙伴来到golang学习网，相聚于此都是缘哈哈哈！今天我给大家带来《Linux怎么配置Nginx禁止IP访问只允许域名 Nginx默认主机头详解》，这篇文章主要讲到等等知识，如果你对文章相关的知识非常感兴趣或者正在自学，都可以关注我，我会持续更新相关文章！当然，有什么建议也欢迎在评论留言提出！一起学习！

必须用default_server而非if判断，因其是Nginx底层路由机制，在SSL握手后、请求解析前即生效，更可靠；而if在server级不支持return、$host易被恶意构造绕过，且HTTPS下若未配ssl default_server会导致IP直连落入业务块。

直接加一个 default_server 的兜底 server 块，返回 403 或 444，是最稳妥、最符合 Nginx 语义的做法。其他写法（比如在业务 server 里用 if ($host != ...)）容易出兼容性或逻辑漏洞。

为什么必须用 default_server 而不是 if 判断

Nginx 的 if 在 server 级别不支持 return 或 rewrite（部分版本会静默忽略），且 $host 可能被恶意构造（如带端口、空格、多余头字段），导致绕过判断。而 default_server 是 Nginx 自身的路由机制，在 SSL 握手后、请求解析前就已生效，更底层、更可靠。

常见错误现象：

• if ($host != "example.com") { return 403; } 在某些 Nginx 版本下完全不生效
• HTTPS 请求中，若未配置 listen 443 ssl default_server，IP 直连仍可能落到业务 server 块
• 客户端发 Host: example.com:8080 或 Host: \texample.com，if 判断可能失效

default_server 的正确写法和位置

这个 server 块必须放在所有业务 server 块之前，且显式声明 default_server。HTTP 和 HTTPS 需分别配置：

server {
    listen 80 default_server;
    listen [::]:80 default_server;
    server_name _;
    return 444;  # 推荐用 444（关闭连接），比 403 更干净
}
<p>server {
listen 443 ssl default_server;
listen [::]:443 ssl default_server;
server<em>name </em>;
ssl_certificate /path/to/placeholder.crt;
ssl_certificate_key /path/to/placeholder.key;
return 444;
}</p>

注意点：

• server_name _; 是通配占位符，匹配所有未显式声明的 Host
• HTTPS 必须提供有效的证书路径，否则 Nginx 启动失败；可临时用自签证书，但不能留空
• 不要在业务 server 的 listen 行保留 default_server，否则冲突报错

业务 server 块里只写明确域名

每个实际对外服务的 server，server_name 必须是具体域名，多个域名用空格分隔，不加通配符：

server {
    listen 80;
    server_name example.com www.example.com;
    location / {
        root /var/www/html;
        index index.html;
    }
}

关键细节：

• 如果需要支持 www 和裸域，两个都得列全，Nginx 不自动补全
• 不要写 server_name *.example.com; —— 这是无效语法，Nginx 不支持通配符域名匹配（除非用正则，但不推荐用于此场景）
• 若使用 CDN 或反向代理，确保上游传来的 Host 头未被篡改，否则 default_server 可能无法触发

验证和调试最容易被忽略的点

配置 reload 后，别只测浏览器输 IP —— 很多浏览器会自动补 http:// 或跳转，掩盖真实行为。用 curl 直接测最准：

curl -I http://192.168.1.100
curl -I -H "Host: evil.com" http://192.168.1.100
curl -I https://192.168.1.100

预期结果全是 HTTP/1.1 444 或连接被重置。如果返回 200 或 301，说明：

• 没加 default_server，或者加在了错误位置（被后面块覆盖）
• HTTPS 的 default_server 缺少证书，Nginx 回退到第一个可用的 server
• 防火墙或云厂商 SLB 拦截了 444，显示为超时或空响应

真正麻烦的是混合环境：既有公网 IP 直连需求（如内部监控），又有对外域名访问。这时候不能一刀切 return 444，得结合 allow/deny 或按 $remote_addr 分流 —— 但那就超出“禁止 IP 只允域名”的原始目标了。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~