V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
wwc
V2EX  ›  NGINX

NGINX 禁止访问 443 端口问题

  •  
  •   wwc · 2017-03-19 21:03:41 +08:00 · 7917 次点击
    这是一个创建于 2810 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如果想禁止别人用我们未绑定的域名或 IP 访问 80 端口,可以这样写:

    server { listen 80 default_server; server_name ""; return 444; }

    这样一来,凡是没有绑定的域名包括 IP 访问 80 端口都会关闭连接,已经绑定的域名可以正常访问。 于是,我就用同样的办法,对 443 端口进行同样的限制,于是这样写:

    server { listen 443 default_server; server_name ""; return 444; }

    然后问题来了,所有 443 端口都无法使用了,就算是已绑定的域名也被关闭连接了。 问题出在哪里呢,难道 443 端口无法实现那样的效果吗?

    14 条回复    2017-03-19 22:09:44 +08:00
    Flygoat
        1
    Flygoat  
       2017-03-19 21:13:02 +08:00 via iPad
    443 端口需要先建立连接才能得到 hostname 。。。。
    wwc
        2
    wwc  
    OP
       2017-03-19 21:15:16 +08:00
    @Flygoat 原来如此,那还有没有办法实现那种效果呢?
    Flygoat
        3
    Flygoat  
       2017-03-19 21:17:35 +08:00 via iPad
    @wwc 建议还是 hostname 不对返回个 403 吧。。直接断连接目测是没有办法了
    lhbc
        4
    lhbc  
       2017-03-19 21:19:49 +08:00
    server_name _;
    wwc
        5
    wwc  
    OP
       2017-03-19 21:24:48 +08:00
    @Flygoat 还是不行,一样连正常绑定的也没法访问了……
    Bardon
        6
    Bardon  
       2017-03-19 21:24:53 +08:00
    我是直接 301 到百度
    Flygoat
        7
    Flygoat  
       2017-03-19 21:26:30 +08:00 via iPad
    @Bardon 直接定义 default_server 然后返回 403 啊
    Bardon
        8
    Bardon  
       2017-03-19 21:27:09 +08:00
    不知道你双引号的写法是哪里来的
    听 4 楼的
    另外如果你的 443 指的是 ssl 的话,没必要多此一举
    wwc
        9
    wwc  
    OP
       2017-03-19 21:34:01 +08:00
    @Bardon nginx 官网文档是这样写的,不这样高的话,别人直接 https 访问我 IP 就知道我是什么站了啊
    pubby
        10
    pubby  
       2017-03-19 21:36:24 +08:00
    测试看看啊

    openssl s_client -connect <your server ip>:443 -tls1_2 -servername notexists.host.com
    pubby
        11
    pubby  
       2017-03-19 21:40:25 +08:00
    我是加了一个自签证书

    listen 443 ssl default;
    server_name localhost;
    ssl_certificate cert.pem;
    ssl_certificate_key cert.key;
    Bardon
        12
    Bardon  
       2017-03-19 21:53:36 +08:00
    未绑定的域名,应该是人家域名直接解析到你 ip
    ip ,就是直接 ip 访问

    防止他们访问,官方写法是
    server {
    listen 80 default_server;
    server_name _;
    return 444;
    }

    443 端口,用 default_server 是个什么意思,你给你的 ip 所在的 localhost 配了 ssl 证书了?就算配了证书了,人家通过其他域名解析过来,也会遇到证书错误呀
    LGA1150
        13
    LGA1150  
       2017-03-19 22:06:12 +08:00
    @wwc SNI
    salmon5
        14
    salmon5  
       2017-03-19 22:09:44 +08:00
    server {
    listen 443 ssl default_server;
    return 501;
    }
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3160 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 13:15 · PVG 21:15 · LAX 05:15 · JFK 08:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.