前言

公司开发了后台系统网站，用于对接各种公司开发的设备；
网站部署在机房，通过防火墙将内网服务器和公网ip进行了映射；

场景一：只允许域名访问网站，不允许通过ip访问

描述：如果你的网站没有配置此类的拦截规则，那么大概率会遭到恶意请求攻击。全球的公网ip是都是暴露在大众下的，每天都有大量的扫描工具在不停的扫描，一旦扫描到你的公网ip，继而进行端口扫描，你的web也就不可避免的暴露出来。

示例：

...
server {
	listen 80;
	server_name www.abcd.com;
	if ($host != 'www.abcd.com') {
		return 403;
	}

	location / {
		...
	}
}
...

通过上述配置，只有web端使用 www.abcd.com 的域名访问才不会被拦截，其余的都会返回403的错误；

杠精抬杠：我通过ip可以反查到对应的域名啊，这样也就可以攻击了；
我：这个配置是拦截了大部分自动扫描的机器人，如果通过反查再进行攻击，就属于人为的定向攻击了，另当别论；出门左转，不送！

场景二：允许多个域名访问网站，不允许通过ip访问

描述：如果有多个域名指向同一个公网ip呢？对，通常我们也会用域名的方式进行功能区分。比如：blog.abcd.com 是博客网站，www.abcd.com是公司系统网站......

示例配置：

...
server {
	listen 80;
	server_name www.abcd.com blog.abcd.com;

	set $flag 0;
	if ($host = 'www.poct.cloud') {
	    set $flag 1;
	}
	if ($host = 'blog.abcd.com') {
	    set $flag 1;
	}
	if ($flag != 1) {
	    return 403;
	}

	location / {
		...
	}
}
...

看懂了不，先设置一个变量flag，初始值为0；如果使用 www.poct.cloud 访问的，flag就会变成1，后面以此类推，最后判断 flag 的值，为0还是为1；如果不是使用www或blog来访问的，flag就还保持默认值，判断flag不为1，则返回403；满足任意条件，则flag为1，则通过。

场景三：多网卡ip，配置拦截和放行规则

在实际环境中刚改完，问题就来了，另一个开发部门的同事找过来，说请求403了。排查、对接发现，他们使用了内网的网卡进行的请求，被我配置的ip访问限制给拦截了；
系统有两个网卡，一个是 192.168.10.10（通过防火墙和公网ip做了映射），一个是 172.10.10.10（另一个部门开发的设备通过vpn来访问的，设备的请求通过vpn到达172.10.10.10，例如：https://172.10.10.10/api/）。

示例配置：

...
server {
	listen 80;
	server_name www.abcd.com blog.abcd.com;

	set $flag 0;
	if ($host = 'www.poct.cloud') {
	    set $flag 1;
	}
	if ($host = 'blog.abcd.com') {
	    set $flag 1;
	}
	if ($host = '172.10.10.10') {
		set $flag 1;
	}
	if ($flag != 1) {
	    return 403;
	}

	location / {
		...
	}
}
...

再加一个flag参数的判断就ok了；