最近百家饭团队开源了一个Nginx日志分析工具APIcat，这周在生成报告的基础上，实现了基于Nginx的自动拦截防护，正好研究了一下Nginx配置IP拦截的配置配置方式nginx配置ip拦截基本是通过deny和allow两个配置关键字来实现的。可以配置单ip的拦截放行，也可以配置网段的拦截放行，比如：allow1.2.3.4;deny1.2.3.4/24;allow1.2.3.4/16;denyall;关键字后跟具体的IP或者CIDR格式的网段即可，注意加上;否则会报格式错误。配置和一般防火墙一样，匹配从上到下进行，匹配到的第一条就生效，比如上面这个例子，1.2.3.4会直接匹配第一条单IP

Centos7下部署nginxngxin是什么Nginx(enginex)是一个高性能的HTTP和反向代理web服务器，Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，在BSD-like协议下发行。其特点是占有内存少，并发能力强，事实上nginx的并发能力确实在同类型的网页服务器中表现较好，中国大陆使用nginx网站用户有：百度、京东、新浪、网易、腾讯、淘宝等。nginx的作用反向代理、负载均衡正向代理和反向代理的区别正向代理是客户端和其他所有服务器的代理者，而反向代理是客户端和所要代理的服务器之间的代理正向代理：一般是像科学上网，任何可以连接到

我们都知道，默认情况下，nginx的项目log是一直被累计写入的，随着时间越久，那么这个文件就会越大，这个时候如果我们要去做一些查找和排查就会比较困难，因为日志文件太大，操作起来比较费劲。因此我们为了规避这个问题，提出日志切割的方案。那日志切割的原理是怎么样的，我们来分析一下，我们先统计下连续10天的日志文件情况-rw-r--r--1nginxroot60MMay110:28xxx.com.access.log-rw-r--r--1nginxroot100MMay210:28xxx.com.access.log-rw-r--r--1nginxroot200MMay310:28xxx.com.a

在nginx中，经常需要因为各种原因，修改header，所以今天整理下nginx中header的一些指令header是http中的消息头，里面包含很多信息，通常又分为requestheaders(请求头)和responseheaders(响应头)客户端向服务器发送的请求中包含请求头，服务器向客户端回复的响应中包含响应头，消息头通常是以冒号分隔的键值对在nginx中有headers模块，其中有三条指令，分别是：add_headeradd_trailerexpiresexpires就不用多说了，用来控制缓存时间的，证书就是缓存的时间，0或负数就是缓存无效add_trailer和add_header

1.CPU亲缘性修改全局配置：worker_processes[number|auto];#启动Nginx工作进程的数量一般设为和CPU核心数相同worker_cpu_affinity00000001000000100000010000001000|auto;#将Nginx工作进程绑定到指定的CPU核心，默认Nginx是不进行进程绑定的，绑定并不是意味着当前nginx进程独占以一核心CPU，但是可以保证此进程不会运行在其他核心上，这就极大减少了nginx的工作进程在不同的cpu核心上的来回跳转，减少了CPU对进程的资源分配与回收以及内存管理等，因此可以有效的提升nginx服务器的性能设置固定值

Nginx/OpenResty目录穿越漏洞复现漏洞背景：2020年03月18日，360CERT监测发现openwalloss-security邮件组披露了两枚漏洞。在特定配置下nginx/openresty存在内存泄漏漏洞/目录穿越漏洞。Nginx是异步框架的网页服务器，也可以用作反向代理、负载平衡器和HTTP缓存。OpenResty是一个基于nginx的Web平台，它对nginx增加LuaJIT引擎使其运行Lua脚本。影响版本：nginxopenresty环境复现：操作系统centos7。        安装nginx版本选择了1.17.7        修改rewrite配置//direc

ChatGPT的API对国内的ip进行了封锁，导致在国内网络环境下无法调用chatgpt的API接口。我们使用nginx来搭建一个反向代理服务器。面向人群：有一定linux操作基础想要搭建自己的ChatGPT问答机器人能够支付起每月30元起的服务器费用购买云服务器镜像我们选择原生Centos7系统，根据你自己的使用的发行版进行选择。地域选择国外的，比较推荐韩国、日本的服务器，延迟更低一点配置这里我选择的是2核2G，33元/月，根据自己需求选择即可，人流量不大的话该配置绰绰有余了。根据自己需要选择是否自动续费安装nginx参考博客文章安装：我的博客：https://www.chenzhen.sp

一、nginx代理长连接1.1、长连接，短链接的区别短连接是指通讯双方有数据交互时，就建立一个连接，数据发送完成后，则断开此连接，即每次连接只完成一项业务的发送。长连接多用于操作频繁，点对点的通讯，而且连接数不能太多情况。每个TCP连接都需要三步握手，这需要时间，如果每个操作都是短连接，再操作的话那么处理速度会降低很多，所以每个操作完后都不断开，下次处理时直接发送数据包就OK了，不用建立TCP连接。例如：数据库的连接用长连接，如果用短连接频繁的通信会造成socket错误，而且频繁的socket创建也是对资源的浪费。而像WEB网站的http服务一般都用短链接，因为长连接对于服务端来说会耗费一定的

一跨域概述 1.1同源策略同源策略是一个安全策略。同源，指的是协议，域名，端口相同。浏览器处于安全方面的考虑，只允许本域名下的接口交互，不同源的客户端脚本，在没有明确授权的情况下，不能读写对方的资源。同源策略主要是基于如下可能的安全隐患：用户访问www.mybank.com，登录并进行网银操作，这时cookie等资源都生成并存放在浏览器；用户突然访问一个另一个网站；该网站在页面中，拿到银行的cookie，比如用户名，登录token等，然后发起对www.mybank.com的操作；若此时浏览器不对跨域做限制，并且银行也没有做相应的安全处理的话，那么用户的信息有可能就这么泄露了。1.2跨域简介CO

新建一个nginxserver在nginx的配置文件中新建一个server监听前端部署的端口server{ #监听端口listen80;server_name网站名称;}使用Nginx代理前端页面然后在server中添加一个location，就是把访问路径指向前端项目打包后的地址location/{ root前端项目打包后的地址; indexindex.htmlindex.htm;}nginx请求转发到后端在部署前后端分离项目时，通常都要使用nginx把前端的请求转发到后端的接口上去，这就要配置nginx的proxy_pass功能。#转发请求到后端location/api/{ proxy_se