nginx实现限制外网(nginx限制referer)

nginx限制referer

日志对于统计排错来说非常有利的。本文总结了nginx日志相关的配置如access_log、log_format、open_log_file_cache、log_not_found、log_subrequest、rewrite_log、error_log。

nginx有一个非常灵活的日志记录模式。每个级别的配置可以有各自独立的访问日志。日志格式通过log_format命令来定义。ngx_http_log_module是用来定义请求日志格式的。

1. access_log指令

语法: access_log path [format [buffer=size [flush=time]]];

access_log path format gzip[=level] [buffer=size] [flush=time];

access_log syslog:server=address[,parameter=value] [format];

access_log off;

默认值: access_log logs/access.log combined;

配置段: http, server, location, if in location, limit_except

gzip压缩等级。

buffer设置内存缓存区大小。

flush保存在缓存区中的最长时间。

不记录日志：access_log off;

使用默认combined格式记录日志：access_log logs/access.log 或 access_log logs/access.log combined;

2. log_format指令

语法: log_format name string …;

默认值: log_format combined “…”;

配置段: http

name表示格式名称，string表示等义的格式。log_format有一个默认的无需设置的combined日志格式，相当于apache的combined日志格式，如下所示：

log_format combined '$remote_addr - $remote_user [$time_local] '

' "$request" $status $body_bytes_sent '

' "$http_referer" "$http_user_agent" ';

log_formatcombined'$remote_addr - $remote_user [$time_local] '

' "$request" $status $body_bytes_sent '

' "$http_referer" "$http_user_agent" ';

如果nginx位于负载均衡器，squid，nginx反向代理之后，web服务器无法直接获取到客户端真实的IP地址了。 $remote_addr获取反向代理的IP地址。反向代理服务器在转发请求的http头信息中，可以增加X-Forwarded-For信息，用来记录 客户端IP地址和客户端请求的服务器地址。PS: 获取用户真实IP 参见http://www.ttlsa.com/html/2235.html如下所示：

log_format porxy '$http_x_forwarded_for - $remote_user [$time_local] '

' "$request" $status $body_bytes_sent '

' "$http_referer" "$http_user_agent" ';

log_formatporxy'$http_x_forwarded_for - $remote_user [$time_local] '

' "$request" $status $body_bytes_sent '

' "$http_referer" "$http_user_agent" ';

日志格式允许包含的变量注释如下：

$remote_addr, $http_x_forwarded_for 记录客户端IP地址

$remote_user 记录客户端用户名称

$request 记录请求的URL和HTTP协议

$status 记录请求状态

$body_bytes_sent 发送给客户端的字节数，不包括响应头的大小； 该变量与Apache模块mod_log_config里的“%B”参数兼容。

$bytes_sent 发送给客户端的总字节数。

$connection 连接的序列号。

$connection_requests 当前通过一个连接获得的请求数量。

$msec 日志写入时间。单位为秒，精度是毫秒。

$pipe 如果请求是通过HTTP流水线(pipelined)发送，pipe值为“p”，否则为“.”。

$http_referer 记录从哪个页面链接访问过来的

$http_user_agent 记录客户端浏览器相关信息

$request_length 请求的长度(包括请求行，请求头和请求正文)。

$request_time 请求处理时间，单位为秒，精度毫秒； 从读入客户端的第一个字节开始，直到把最后一个字符发送给客户端后进行日志写入为止。

$time_iso8601 ISO8601标准格式下的本地时间。

$time_local 通用日志格式下的本地时间。

$remote_addr,$http_x_forwarded_for记录客户端IP地址

$remote_user记录客户端用户名称

$request记录请求的URL和HTTP协议

$status记录请求状态

$body_bytes_sent发送给客户端的字节数，不包括响应头的大小；该变量与Apache模块mod_log_config里的“%B”参数兼容。

$bytes_sent发送给客户端的总字节数。

$connection连接的序列号。

$connection_requests当前通过一个连接获得的请求数量。

$msec日志写入时间。单位为秒，精度是毫秒。

$pipe如果请求是通过HTTP流水线(pipelined)发送，pipe值为“p”，否则为“.”。

$http_referer记录从哪个页面链接访问过来的

$http_user_agent记录客户端浏览器相关信息

$request_length请求的长度(包括请求行，请求头和请求正文)。

$request_time请求处理时间，单位为秒，精度毫秒；从读入客户端的第一个字节开始，直到把最后一个字符发送给客户端后进行日志写入为止。

$time_iso8601ISO8601标准格式下的本地时间。

$time_local通用日志格式下的本地时间。

[warning]发送给客户端的响应头拥有“sent_http_”前缀。 比如$sent_http_content_range。[/warning]

实例如下：

http {

log_format main '$remote_addr - $remote_user [$time_local] "$request" '

'"$status" $body_bytes_sent "$http_referer" '

'"$http_user_agent" "$http_x_forwarded_for" '

'"$gzip_ratio" $request_time $bytes_sent $request_length';

log_format srcache_log '$remote_addr - $remote_user [$time_local] "$request" '

'"$status" $body_bytes_sent $request_time $bytes_sent $request_length '

'[$upstream_response_time] [$srcache_fetch_status] [$srcache_store_status] [$srcache_expire]';

open_log_file_cache max=1000 inactive=60s;

server {

server_name ~^(www\.)?(.+)$;

access_log logs/$2-access.log main;

error_log logs/$2-error.log;

location /srcache {

access_log logs/access-srcache.log srcache_log;

}

}

}

http{

log_formatmain'$remote_addr - $remote_user [$time_local] "$request" '

'"$status" $body_bytes_sent "$http_referer" '

'"$http_user_agent" "$http_x_forwarded_for" '

'"$gzip_ratio" $request_time $bytes_sent $request_length';

log_formatsrcache_log'$remote_addr - $remote_user [$time_local] "$request" '

'"$status" $body_bytes_sent $request_time $bytes_sent $request_length '

'[$upstream_response_time] [$srcache_fetch_status] [$srcache_store_status] [$srcache_expire]';

open_log_file_cachemax=1000inactive=60s;

server{

server_name~^(www\.)?(.+)$;

access_loglogs/$2-access.logmain;

error_loglogs/$2-error.log;

location/srcache{

access_loglogs/access-srcache.logsrcache_log;

}

}

}

3. open_log_file_cache指令

语法: open_log_file_cache max=N [inactive=time] [min_uses=N] [valid=time];

open_log_file_cache off;

默认值: open_log_file_cache off;

配置段: http, server, location

对于每一条日志记录，都将是先打开文件，再写入日志，然后关闭。可以使用open_log_file_cache来设置日志文件缓存(默认是off)，格式如下：

参数注释如下：

max:设置缓存中的最大文件描述符数量，如果缓存被占满，采用LRU算法将描述符关闭。

inactive:设置存活时间，默认是10s

min_uses:设置在inactive时间段内，日志文件最少使用多少次后，该日志文件描述符记入缓存中，默认是1次

valid:设置检查频率，默认60s

off：禁用缓存

实例如下：

open_log_file_cache max=1000 inactive=20s valid=1m min_uses=2;

1

open_log_file_cachemax=1000inactive=20svalid=1mmin_uses=2;

4. log_not_found指令

语法: log_not_found on | off;

默认值: log_not_found on;

配置段: http, server, location

是否在error_log中记录不存在的错误。默认是。

5. log_subrequest指令

语法: log_subrequest on | off;

默认值: log_subrequest off;

配置段: http, server, location

是否在access_log中记录子请求的访问日志。默认不记录。

6. rewrite_log指令

由ngx_http_rewrite_module模块提供的。用来记录重写日志的。对于调试重写规则建议开启。 Nginx重写规则指南

语法: rewrite_log on | off;

默认值: rewrite_log off;

配置段: http, server, location, if

启用时将在error log中记录notice级别的重写日志。

7. error_log指令

语法: error_log file | stderr | syslog:server=address[,parameter=value] [debug | info | notice | warn | error | crit | alert | emerg];

默认值: error_log logs/error.log error;

配置段: main, http, server, location

配置错误日志。

NGINX限制网站宽带

开网站必须要有80端口和443端口，

而普通家庭宽带是不可能给你开放这两个端口的，

就算你刚申请到公网IP的时候80，443端口是开着的，

过几天就会给你关掉。

而且国内建站是需要备案的，

备案是需要固定IP的，

家庭带宽都是动态IP，

你怎么备案？

有一种解决方案，

把nginx端口开放为非80，非443，

然后使用frp这类工具把它们指向80和443，

网上有免费的frp服务器，

细心搜索一下就能找到，

你只需要把你的域名泛解析到人家的地址(知道IP用A记录，只知道域名用CNAME)，

然后，

在你的frpc客户端设置一下绑定的二级域名就可以了。

且行且珍惜。

NGINX限制只能某台电脑访问

访问网站时出现403 Forbidden错误的原因，Forbidden的意思就是被禁止访问的意思，就是说没有权限访问此站。访问网站时出现403 Forbidden错误的原因有以下几个方面：

1. 在一定时间内过多地访问此网站，被防火墙拒绝访问了;换个时间段访问即可；

2. 网站域名解析到了空间，但空间未绑定此域名;联系网站空间供应商解决；

3. 网页脚本文件在当前目录下没有执行权限;联系技术人员，进行相关调试；

4. 在不允许写/创建;文件的目录中执行了创建/写文件操作;

5. 以http方式访问需要ssl连接的网址;

6. 浏览器不支持SSL 128时访问SSL 128的连接;

7. 连接的用户过多，可以过后再试;

8. 在身份验证的过程中输入了错误的密码；输入正确密码即可解决

NGINX限制某个域名带宽

Nginx是一个高性能的Web服务器和反向代理服务器，支持gzip压缩。gzip是一种在Web服务器和客户端之间传输数据时进行压缩的技术，可以显著减少传输数据的大小，从而提高Web页面的加载速度。

下面是Nginx开启gzip的优缺点：

优点：

提高网站速度：gzip压缩可以将数据压缩成更小的体积，这样可以减少Web页面加载时间，从而提高网站速度。

减少带宽使用：由于gzip压缩可以将数据压缩成更小的体积，因此可以减少带宽使用，降低网站的流量消耗。

改善用户体验：通过减少页面的加载时间，可以提高用户的体验，并提高他们对网站的满意度和忠诚度。

缺点：

压缩需要消耗CPU资源：由于压缩需要消耗CPU资源，因此开启gzip压缩可能会增加服务器的CPU负载，对于性能较低的服务器可能会影响性能。

压缩可能会增加内存使用：在进行gzip压缩时，需要使用一定的内存资源来存储压缩后的数据，如果压缩的数据量较大，可能会增加服务器的内存使用。

综上所述，开启gzip压缩可以提高网站的速度和用户体验，但需要注意压缩可能会增加服务器的CPU和内存使用。如果服务器性能较低或者带宽资源充足，可以考虑不开启gzip压缩。

nginx限制请求大小

nginx配置如下： 

1、定义worker进程数： 

worker_processes 10;

2、定义worker进程可同时服务请求数目：

worker_connections 1024;

3、禁止使用sendfile函数：

sendfile off;

4、开启空闲连接的文件检查：

linger_on_close on;

5、定义多个进程间通信存放文件路径及名称：

pid /var/run/nginx.pid;

6、定义用户和组：

user nobody nogroup;

7、定义worker进程数量：

worker_processes 10;

8、定义最大请求进程时间：

client_body_timeout 10; 

9、定义服务的超时时间：

send_timeout 10;

10、打开目录列表功能：

autoindex on;

NGINX限制带宽

把端口都用完了这种情况我就真实遇到过，某大学的nat服务器，学校很吝啬，老大一片宿舍区，就6个公网ip，有一段时间线路改造，就剩俩好用的，12万个端口，假如每人100个链接，就只够1200人用，那个宿舍区至少有3000多人，然后就出现了莫名其妙的上不了网

本来网络维修期间网络不好没人在乎，我当初好奇，研究了一下，让我大开眼界，是第一次见到端口不够用的情况

当时尝试了把端口占用超时时间缩短了一点，改善有限，毕竟是太不够用了，如果缩的再多，短于连接心跳包的时间，就会莫名其妙掉线了