禁止Nginx重定向至监听端口

在使用Nginx时，可能有时不需要让Nginx监听80端口，甚至在前面再加一个Squid，Varnish之类的HTTP缓存。

但是访问子目录时，除非在子目录后面再加一条“/”，否则就会遇到网址自动重定向至Nginx监听的端口。假设你Nginx站点监听的端口是123，你本来访问的地址是http://domain.com/wp-admin，会自动重定向至http://domain.com:123/wp-admin

这样明显会对服务器造成很大的威胁，要知道后端可是很重要的，如果后端端口暴露出来，就可能会被人直接对这个端口进行诸如CC之类的攻击……

在Nginx的核心模块的文档中，有这样一个配置：

port_in_redirect

Syntax:	port_in_redirect on | off
Default:	on
Context:	 http
server
location
Reference:	port_in_redirect

Directive allows or prevents port indication in redirects handled by nginx.

If port_in_redirect is off, then Nginx will not add the port in the url when the request is redirected.

port_in_redirect

Syntax: port_in_redirect on | off

Default: on

Context: http

server

location

Reference: port_in_redirect

Directive allows or prevents port indication in redirects handled by nginx.

If port_in_redirect is off, then Nginx will not add the port in the url when the request is redirected.

大概是说如果使用了port_in_redirect off;那么Nginx将不会在网站后面加上监听的端口。

由于一般nginx.conf都没有这一行配置，因此都是默认on的。要关掉，就需要修改nginx.conf，在http层里面加入一行：

port_in_redirect off;

1	port_in_redirect off;

注意是添加在http层里面，在server层之前。

添加完毕后，重启Nginx，再次访问子目录时，就不会出现重定向至监听端口的问题。

Tags: nginx, port_in_redirect, redirect, 监听, 端口, 重定向

5 Comments

Comments are closed.

You might also like:

服务器, 未分类, 运营维护

巧用Nginx的日志功能配合IPTABLES实现防范基础CC攻击(2013年11月24日8:24:13更新)

相信不少人都被CC过，我也不例外，因此一直以来想尽各种办法降低PHP所占的资源。 PHP所耗的资源算压下去了，带宽却满了…… 之前也看过有人使用Nginx的第三方模块limit req2实现防CC攻击，自己也弄过，但效果没想象中的好，只用了几十分钟我就抛弃了…… 昨天其中考试结束后，突然灵机一动，想到一个新的防CC方法。回家后经过多次调试，几经完善，已经基本能正常使用了。这其中利用了Nginx的日志功能，还有自己写的一个Shell Script。本文出自微宇宙(http://zhensheng.im)，转载者死一户口本。 Apache的请移步这里：Apache:只有访客IP的日志格式首先给 […]

Nginx ssl_preread传递客户端IP

ssl_preread是基于L4的反代方案，TLS SNI握手时客户端会提供域名，所以可以让Nginx在无需完成TLS握手的情况下，就根据域名进行后端服务器的选择。简单来讲，你只需要给后端服务器配置一个SSL证书，而提供反代功能的Nginx则无需配置。文档见此：http://nginx.org/en/docs/stream/ngx_stream_ssl_preread_module.html 因为这是L4反代，所以通过“proxy_set_header”传递客户端IP的方法是行不通的。其实传递客户端IP的解决办法跟上一篇文章类似：L4(传输层)IP透明反向代理的实现(传递客户端真实IP)，ng […]

服务器, 运营维护

设置ACL增强网站目录安全性

Linux的安全性高是人人皆知的，可以分别设置user，group，other的r/w/x的权限。但是，对于我这种注重数据安全的人来说，这样简单的权限设置已无法满足我的需求。就以Nginx+PHP-FPM的环境为例。一般给Nginx和php-fpm fork出来的进程的用户身份不同的。假如给Nginx的执行身份是用户nginx，而php-fpm的执行身份是php-fpm。在网站所有文件owner都是php-fpm的情况下，给网站目录的文件的最低权限就是505(user:r_x,group:___,other:r_x)(不能再低了，再低就无法正常访问了)。本文出自微宇宙(http://z […]

Varnish(前)+Nginx(中)时,让Apache(后)获取用户真实IP(多重代理)

不得不说我有点问题，网站一个Apache+Varnish不够，还要在Apache和Varnish之间插入个第三者——Nginx。因为某些需要，也给该服务器上的个别网站上了CDN。 Apache做后端，前面多一个Nginx Proxy Cache+Varnish，获取用户的真实IP不难，只需给Apache上一个rpaf模块就行了，然后让Varnish处理XFF的内容就好了：

     if (req.restarts == 0) {
       if (req.http.x-forwarded-for) {
           set req.http.X-Forwarded-For =
               req.http.X-Forwarded-For + ", " + client.ip;
       } else {
           set req.http.X-Forwarded-For = client.ip;
       }
     }

if (req.restarts == 0) {

if (req.http.x-forwarded-for) {

set req.http.X-Forwarded-For =

req.http.X-Forwarded-For + ", " + client.ip;

} else {

set req.http.X-Forwarded-For = client.ip;

}

无CDN的情况下访问网站，可以正确获取到用户的真实IP。最近给网站上多了一个CDN，rpaf模块就显得无能为力了。因此，这几天一直苦恼如何让我的网站获取用 […]