NGINX 禁止访问 443 端口问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› NGINX

› NGINX Trac

› 3rd Party Modules

› Security Advisories

› CHANGES

› OpenResty

› ngx_lua

› Tengine

在线学习资源

› NGINX 开发从入门到精通

NGINX Modules

› ngx_echo

这是一个创建于 2791 天前的主题，其中的信息可能已经有所发展或是发生改变。

如果想禁止别人用我们未绑定的域名或 IP 访问 80 端口，可以这样写：

server { listen 80 default_server; server_name ""; return 444; }

这样一来，凡是没有绑定的域名包括 IP 访问 80 端口都会关闭连接，已经绑定的域名可以正常访问。于是，我就用同样的办法，对 443 端口进行同样的限制，于是这样写：

server { listen 443 default_server; server_name ""; return 444; }

然后问题来了，所有 443 端口都无法使用了，就算是已绑定的域名也被关闭连接了。问题出在哪里呢，难道 443 端口无法实现那样的效果吗？

端口

域名

绑定

listen

14 条回复 • 2017-03-19 22:09:44 +08:00

Flygoat

2017-03-19 21:13:02 +08:00 via iPad

443 端口需要先建立连接才能得到 hostname 。。。。

wwc

2017-03-19 21:15:16 +08:00

@Flygoat 原来如此，那还有没有办法实现那种效果呢？

Flygoat

2017-03-19 21:17:35 +08:00 via iPad

@wwc 建议还是 hostname 不对返回个 403 吧。。直接断连接目测是没有办法了

lhbc

2017-03-19 21:19:49 +08:00

server_name _;

wwc

2017-03-19 21:24:48 +08:00

@Flygoat 还是不行，一样连正常绑定的也没法访问了……

Bardon

2017-03-19 21:24:53 +08:00

我是直接 301 到百度

Flygoat

2017-03-19 21:26:30 +08:00 via iPad

@Bardon 直接定义 default_server 然后返回 403 啊

Bardon

2017-03-19 21:27:09 +08:00

不知道你双引号的写法是哪里来的
听 4 楼的
另外如果你的 443 指的是 ssl 的话，没必要多此一举

wwc

2017-03-19 21:34:01 +08:00

@Bardon nginx 官网文档是这样写的，不这样高的话，别人直接 https 访问我 IP 就知道我是什么站了啊

pubby

2017-03-19 21:36:24 +08:00

测试看看啊

openssl s_client -connect <your server ip>:443 -tls1_2 -servername notexists.host.com

pubby

2017-03-19 21:40:25 +08:00

我是加了一个自签证书

listen 443 ssl default;
server_name localhost;
ssl_certificate cert.pem;
ssl_certificate_key cert.key;

Bardon

2017-03-19 21:53:36 +08:00

未绑定的域名，应该是人家域名直接解析到你 ip
ip ，就是直接 ip 访问

防止他们访问，官方写法是
server {
listen 80 default_server;
server_name _;
return 444;
}

443 端口，用 default_server 是个什么意思，你给你的 ip 所在的 localhost 配了 ssl 证书了？就算配了证书了，人家通过其他域名解析过来，也会遇到证书错误呀

LGA1150

2017-03-19 22:06:12 +08:00

@wwc SNI

salmon5

2017-03-19 22:09:44 +08:00

server {
listen 443 ssl default_server;
return 501;
}