apache allow和deny

转自 http://www.cnblogs.com/top5/archive/2009/09/22/1571709.html

影响最终判断结果的只有两点：

1. order语句中allow、deny的先后顺序；

2. allow、deny语句中各自包含的范围。

温馨提醒——

1. 修改完配置后要保存好并重启Apache服务，配置才能生效；

2. 开头字母不分大小写；

3. allow、deny语句不分先后顺序，谁先谁后不影响最终判断结果；但都会被判断到；

4. order语句中，“allow,deny”之间“有且只有”一个逗号（英文格式的），而且先后顺序很重要；

5. Apache有一条缺省规则，“order allow,deny”本身就默认了拒绝所有的意思，因为deny在allow的后面；同理，“order deny,allow”本身默认的是允许所有；当然，最终判断结果还要综合下面的allow、deny语句中各自所包含的范围；（也就是说order语句后面可以没有allow、deny语句）

6. allow、deny语句中，第二个单词一定是“from”，否则Apache会因错而无法启动，

7. “order allow,deny”代表先判断allow语句再判断deny语句，反之亦然。

上面说的都是要记住的，而下面说的是我独创的理解方法。如果有人看了而没有豁然开朗的感觉，那算是我的失败！

判断原则分4步走——

1. 首先判断默认的；

2. 然后判断逗号前的；

3. 最后判断逗号后的；

4. 最终按顺序叠加而得出判断结果。

上面三点我说的简单而形象，主要是为了便于记忆。暂时不理解不要紧，继续看下面详细的解说自然会明白。下面以一个普通例子来做解释——

order deny,allow

allow from 218.20.253.2

deny from 218.20

1. 所谓“首先判断默认的”，就是判断“order deny,allow”这句，它默认是允许所有；

2. 所谓“然后判断逗号前的”，因为在本例子中的order语句里面，deny在逗号的前面，所以现在轮到判断下面的deny语句了——“deny from 218.20”；

3. 所谓“最后判断逗号后的”，因为在本例子中的order语句里面，allow在逗号的后面，所以最后轮到判断下面的allow语句了——“allow from 218.20.253.2”。

4. 所谓“最终按顺序叠加而得出判断结果”，这是一个形象化了的说法，我把每一步判断都看作一个“不透明的图层”，然后一步步按顺序叠加上去，最终得出的“图像”就是判断结果。

用过作图软件的人应该都知道“图层”是怎么回事，我估计Apache关于order allow deny这方面的设计理念和photoshop等作图软件关于图层的设计理念是一样的。即“游戏规则”是一样的。

那么上面的例子就可以是这么一个步骤和图像——

1. 先画一个白色的大圆，代表“order deny,allow”语句，默认意思是允许所有；

2. 然后画一个小一点的黑色圆，代表“deny from 218.20”语句，意思是拒绝所有以218.20开头的IP，放进白色的大圆里面；

3. 最后再画一个白色的圆，代表“allow from 218.20.253.2”语句，意思是允许218.20.253.2通过，放在黑色圆的上面。

4. 到此为止，我们已经可以看到一个结果了，白色大圆上面有一个黑色圆，黑色圆上面还有一个白色圆。最后，我们所能看到的黑色部分就是拒绝通行的，剩下的白色部分都是允许通行的。判断的结果就是这么简单形象！