如何禁止通过 ip 访问网站

This topic created in 3279 days ago, the information mentioned may be changed or developed.

http://ip 这种形式已经可以拒绝了，但 https://ip 仍然可以访问（虽然会有红叉）。

找了很久也没找到有效的方法，望各位 v 友不吝赐教。

我想要的效果基本上和这个问题最后总结的一样：Block direct access to webserver IP via HTTPS

以下是我目前使用的 nginx 配置：

server {
	listen 80 default;
	return 403;
}

server {
	listen 80;
	server_name example.com;
	rewrite ^ https://$host$request_uri? permanent;
}

server {
        listen 443 http2 ssl;

        server_name example.com;

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;


        location ~ /.well-known {
                allow all;
        }

	root /var/www/test/public;
	index index.html;

        location / {
		try_files $uri $uri/ /index.html;
        }
}

11 replies • 2017-06-22 20:09:29 +08:00

cst4you

Jun 19, 2017

你再 listen 个 443 的 default 不就好了

blankme

Jun 19, 2017

@cst4you 这样会把域名访问一起屏蔽掉

dzxx36gyy

Jun 19, 2017 via Android

加个 server_name 是 ip 的，然后跳转到你的域名

haozi1986

Jun 19, 2017

server {
listen 80 default_server;
listen 443 ssl default_server;
server_name _;
ssl_certificate <path to cert>
ssl_certificate_key <path to key>
return 404;
}

这个是我的配置~~

katsusan

Jun 19, 2017 via iPhone

弱弱地问个问题，能直接通过 ip 访问有什么坏处么

blankme

Jun 19, 2017

@haozi1986 原来按照这种方法没走通，还以为不能用。后来发现是证书配置不对，已解决，感谢。

blankme

Jun 19, 2017

@katsusan 不算坏处吧，就是自己玩一下。如果一个 ip 对应多个网站，可以避免非期望的跳转，也许算是一个好处。

garyalen

Jun 19, 2017 via Android

@haozi1986 最好不要用 404 搜索引擎很久都不会再爬了推荐用 403

gongjianwei

Jun 19, 2017

ququ 的配置里面有这个，我做点修改发上来

https://imququ.com/post/my-nginx-conf.html#toc-6

```
server {
listen example.com www.example.com <your_ip>;

# ... #

# If site is not "example.com", return to "https://example.com"
if ($host != 'example.com' ) {
rewrite ^/(.*)$ https://example.com/$1 permanent;
}
}
```

gongjianwei

Jun 19, 2017

第一次在 V2EX 里发代码，抱歉……

https://gist.github.com/WordlessEcho/89bffc995c844d5f4c9b181f547bbfad

gongjianwei

Jun 22, 2017 via Android

@gongjianwei 做一些说明
企图通过这种方法干翻小红叉是不可能的，HTTPS 就是要先握手交换密钥
但是这个可以让 IP 访问强行忽略错误的时候，继续跳转回域名
当然你也可以将 rewrite 替换成 return 444 或者 400，这没问题