nginx访问白名单设置以及根据$remote_addr分发

在日常运维工作中，会碰到这样的需求：设置nginx的某个域名访问只对某些ip开放，其他ip的客户端都不能访问。
达到这样的目的一般有下面两种设置方法：
（1）针对nginx域名配置所启用的端口(一般是80端口)在iptables里做白名单，比如只允许100.110.15.16、100.110.15.17、100.110.15.18访问.但是这样就把nginx的所有域名访问都做了限制，范围比较大！
[root@china ~]# vim /etc/sysconfig/iptables
......
-A INPUT -s 100.110.15.16 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -s 100.110.15.17 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -s 100.110.15.18 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

（2）如果只是针对nginx下的某一个域名进行访问的白名单限制，那么可以在nginx的配置文件里进行设置，利用$remote_addr参数进行访问的分发，如下：
[root@china vhosts]# cat www.wangshibo.com.conf
server {
listen 80;
server_name www.wangshibo.com;

#charset koi8-r;

access_log /Data/logs/nginx/www.wangshibo.com/access.log main;
error_log /Data/logs/nginx/www.wangshibo.com/error.log;

if ($remote_addr !~ ^(100.110.15.16|100.110.15.17|100.110.15.18|127.0.0.1)) {
rewrite ^.*$ /maintence.php last;
}

location / {
root /var/www/vhosts/www.wangshibo.com/main;
try_files $uri $uri/ @router;
index index.php;
}

[root@china vhosts]# cat /var/www/vhosts/www.wangshibo.com/main/maintence.html
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">
</head>
<body>
网站临时维护中，请稍后访问...
</body>
</html>

---------------------------------------------------------------------
下面简单说明下nginx location匹配规则

location匹配命令
~   表示执行一个正则匹配，区分大小写
~* 表示执行一个正则匹配，不区分大小写
^~ 表示普通字符匹配，如果该选项匹配，只匹配该选项，不匹配别的选项，一般用来匹配目录
=    进行普通字符精确匹配
@   定义一个命名的 location，使用在内部定向时，例如 error_page, try_files

=前缀的指令严格匹配这个查询。如果找到，停止搜索。
所有剩下的常规字符串，最长的匹配。如果这个匹配使用^〜前缀，搜索停止。
正则表达式，在配置文件中定义的顺序。
如果第3条规则产生匹配的话，结果被使用。否则，如同从第2条规则被使用。

location 匹配的优先级(与location在配置文件中的顺序无关)
= 精确匹配会第一个被处理。如果发现精确匹配，nginx停止搜索其他匹配。
普通字符匹配，正则表达式规则和长的块规则将被优先和查询匹配，也就是说如果该项匹配还需去看有没有正则表达式匹配和更长的匹配。
^~ 则只匹配该规则，nginx停止搜索其他匹配，否则nginx会继续处理其他location指令。
最后匹配理带有"~"和"~*"的指令，如果找到相应的匹配，则nginx停止搜索其他匹配；当没有正则表达式或者没有正则表达式被匹配的情况下，那么匹配程度最高的逐字匹配指令会被使用。 
location = / {                     # 只匹配"/".
[ configuration A ]
}

location / {                        # 匹配任何请求，因为所有请求都是以"/"开始，但是更长字符匹配或者正则表达式匹配会优先匹配
[ configuration B ]
}

location ^~ /images/ {           # 匹配任何以 /images/ 开始的请求，并停止匹配 其它location
[ configuration C ]
}

location ~* \.(gif|jpg|jpeg)$ {         # 匹配以 gif, jpg, or jpeg结尾的请求. 但是所有 /images/ 目录的请求将由 [Configuration C]处理.
[ configuration D ]
}