仅允许Nginx中的本地用户

我想限制某些VHost的访问，以便只有127.0.0.1可以访问它。我一直使用这样的方法将VHost绑定到本地主机，而不是外部IP：

server {
    listen 127.0.0.1;
    server_name myvhost.local;
    location / {
        ....
    }
}

但我注意到，有些教程还包含allow针对localhost的显式指令，并明确拒绝所有其他指令：

server {
    listen 127.0.0.1;
    server_name myvhost.local;
    location / {
        allow 127.0.0.1;
        deny all;
        ...
    }
}

当我仅在127.0.0.1收听时，真的需要这些allow/ deny指令吗？

该listen指令告诉操作系统Web服务器在其自身上绑定的接口。因此，当您在netstat -a启动nginx之后查看时，您会看到nginx仅在127.0.0.1 IP端口80上侦听，这意味着nginx服务器无法通过任何其他接口访问。

在实际的网络堆栈中，绑定到特定IP地址的级别比nginx配置中的allow/ deny指令的级别低。

这意味着您无需在用例中的配置内部就使用单独的allow/ deny指令，因为在网络堆栈中，连接受到的限制较低。

如果listen 80;仅指定并使用allow/ deny指令，则nginx将向客户端发送HTTP错误代码，告知访问被拒绝。

在这种listen 127.0.0.1;情况下，浏览器根本无法连接到服务器，因为没有开放的TCP端口可供浏览器连接。

假设您的网络ID为192.168.1.0，如下所示编辑conf文件：

location / {
  # block one workstation
  deny    192.168.1.1;
  # allow anyone in 192.168.1.0/24
  allow   192.168.1.0/24;
  # drop rest of the world
  deny    all;
}

请让我知道它如何为您工作。

编辑＃1：

是的，根据Nginx官方Wiki，必须使用allow指令。他们的例子是：

location / {
    allow 192.168.1.1/24;
    allow 127.0.0.1;
    deny 192.168.1.2;
    deny all;
}

我想实现相同的功能（仅允许在nginx中使用本地用户），并且发现可以执行以下简单操作：

server {
    listen 127.0.0.1:80;

    index index.html index.htm index.nginx-debian.html;

    location = /favicon.ico { access_log off; log_not_found off; }

    location /static/ {
        root /path/to/folder;
    }       

    location / {
        include proxy_params;
    }
}

这个配置文件对我来说很好用，我不使用任何allow指令，而仅使用127.0.0.1:80，并且我可以将nginx访问限制为仅本地用户！