nginx防止恶意域名解析：nginx只允许域名访问，禁止通过ip访问443 ssl资源

赶潮流 發表於 2023-12-1 16:35:00

nginx防止恶意域名解析：nginx只允许域名访问，禁止通过ip访问443 ssl资源

一大早接到网络部门通知，我们ip被恶意域名解析了：有未备案的域名解析到了我们ip上，10点前不处理好，将会封ip
接到这个通知，我是一头雾水，因为之前我是做过相关处理的：https://www.cnblogs.com/allay/p/17596091.html
后来把恶意解析域名地址拿来一看，好家伙，居然是https地址：
<img src="https://img2023.cnblogs.com/blog/1219004/202312/1219004-20231201155458381-1021579131.png">
 那就说的通了，我当时只做了80端口的防解析，443端口并没做
这里说下恶意域名解析原理：
外网域名解析，只能解析到 http://ip(80端口)或者 https://ip(443端口)上，再往内部的二级域名等资源解析是没有办法的，因为他只能解析到 http://ip:80或者http://ip:443，nginx内部的 server_name参数他匹配不上
如果当前ip对应的80（或者443）端口在nginx里没有指定默认资源，会以conf.d目录下的顺序第一的配置文件指向的资源为准，也就是用80或者443各排第一个的配置文件为默认资源
这时候如果用一个不相关的域名解析到http://ip(80端口)或者 https://ip(443端口)上，就会阴差阳错的关联到conf.d目录下80或者443各排第一位的配置文件对应的资源上
所以防解析的解决方法也很简单，就是指定80和443端口的默认资源，让他们只返回403报错，默认资源没法显示有效内容，域名就没法解析成功
 
下面是我的操作步骤：
1.首先想到的就是修改默认资源啊
一开始修改的配置文件如下，重启nginx报错
  1#1: no "ssl_certificate" is defined for the "listen ... ssl" directive in /etc/nginx/conf.
<div class="cnblogs_code">
<pre>server {
listen 80 default;
return 403;
}

server {
listen 443 ssl default;
return 403;
}</pre>
</div>
看来443端口没有证书是配置不了了，眼看着10点要到了，暂时就不配置证书了，试试其他方式曲线救国
 
2.修改conf.d目录443端口排第一的配置文件
<div class="cnblogs_code">
<pre>server {
 listen443 ssl;
 server_name x.x.x.x;
 ...
 if ($host != 'x.x.x.x'){
 return 403;
 }
 ...
 location / {
 proxy_pass http://xxxx;
 proxy_set_header Host $host;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 }
 ...

}</pre>
</div>
参考文档：https://www.cnblogs.com/mafeng/p/11671793.html
这个方式其实更适合防盗链，加了一个判断语句：只要匹配的域名不是设置的域名就返回403报错，经过实测是可行的！访问https://ip 也显示403了，之前是可以直接显示这个资源对应的网页的，访问正确的域名，网页可以正常打开
<img src="https://img2023.cnblogs.com/blog/1219004/202312/1219004-20231201162421195-1826876727.png">
 
某种程度上这样就可以了，但是如果后期加了个443资源，排名比他靠前，那这个策略就失效了，所以还是得配置专门的默认资源来返回403
 
3.修改默认资源配置
首先得找个域名来生成证书，比如我们域名是abc.cn，那我就用403.abc.cn来做默认资源吧
我这里是使用certbot生成免费证书，关于如何使用certbot可以参考这篇：https://www.cnblogs.com/allay/articles/17319861.html
后来发现一个自签名证书的方式，感觉更好：https://blog.csdn.net/ceboy/article/details/104402486
这里 return 403; 配置需要先注释掉
修改403.conf如下
<div class="cnblogs_code">
<pre>server {
listen 80 default;
server_name 403.abc.cn;
#return 403;
#配置http验证可访问
location ~/.well-known/acme-challenge/ {
#此目录都是nginx容器内的目录，对应宿主机volumes中的http验证目录，而宿主机的又与certbot容器中命令--webroot-path指定目录一致，从而就整个串起来了，解决了http验证问题
root /usr/share/nginx/html/;
}

}</pre>
</div>
证书生成成功
<img src="https://img2023.cnblogs.com/blog/1219004/202312/1219004-20231201163138505-856595398.png">
 继续修改配置文件403.conf
<div class="cnblogs_code">
<pre>server {
listen 80 default;
server_name 403.abc.cn;
return 403;
#配置http验证可访问
location ~/.well-known/acme-challenge/ {
#此目录都是nginx容器内的目录，对应宿主机volumes中的http验证目录，而宿主机的又与certbot容器中命令--webroot-path指定目录一致，从而就整个串起来了，解决了http验证问题
root /usr/share/nginx/html/;
}

}

server {
listen 443 ssl default;
server_name 403.abc.cn;
ssl_certificate /usr/local/etc/certbot/live/403.abc.cn/fullchain.pem;
ssl_certificate_key /usr/local/etc/certbot/live/403.abc.cn/privkey.pem;

ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;

return 403;
}</pre>
</div>
重启nginx，未报错，说明配置成功
最后再把第二步的判断注释掉，再重启nginx
这个时候访问未备案域名，返回403，访问https://ip依然返回403，443端口的防解析配置成功~
  
来源：https://www.cnblogs.com/allay/p/17870387.html

頁: [1]

琼殿技术论坛's Archiver

nginx防止恶意域名解析：nginx只允许域名访问，禁止通过ip访问443 ssl资源