Estou usando o servidor x64 do Ubuntu com nginx como servidor web.
Na minha empresa, configuramos o servidor dns de intranet (local) para que, quando você insere domain1.com , ele vá diretamente para o endereço IP da LAN definido.
Precisamos de acesso global para domain2.com, localizado no mesmo servidor. Quando abrimos o acesso global para domain2.com , ocorreu o seguinte problema:
Como você sabe, qualquer um pode detectar endereços IP de domain2.com (nosso servidor).
O problema é que, quando você acessa diretamente usando o endereço ip global do servidor, o servidor é aberto automaticamente domain1.com , que deve ser restrito para acesso global. Aqui está a configuração nginx de domain1.com :
server
{
set $host_path "/var/www/domain1";
server_name domain1.com;
root $host_path;
set $yii_bootstrap "index.php";
client_max_body_size 2000M;
client_body_buffer_size 1024k;
listen 80;
charset utf-8;
index index.php index.html;
access_log /var/access_log;
error_log /var/error_log;
location ~ /(protected|framework|nbproject) {
deny all;
access_log off;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php?$args;
}
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(.*)$;
#let yii catch the calls to unexising PHP files
set $fsn /$yii_bootstrap;
if (-f $document_root$fastcgi_script_name){
set $fsn $fastcgi_script_name;
}
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
location ~ /\.ht {
deny all;
}
}
Como tornar domain1.com apenas para LAN (restringir o acesso global)?
Confiar na obscuridade (um nome de host desconhecido) é inseguro aqui. Qualquer pessoa pode definir o nome do host, mesmo do lado de fora:
curl -H "Host: example.com" http://the.ip.here/
Uma maneira melhor de restringir o acesso é definindo os controles de acesso:
location / {
try_files $uri $uri/ /index.php?$args;
# Adjust the IP range if necessary
allow 192.168.1.0/24;
deny all;
}
Documentação: