Apache中httpd-vhosts.conf虛擬主機設定,Allow,Deny,Require含義
Deny : 拒絕訪問;
語法 : Deny from 要拒絕的範圍(支援ip和domain或all)
例如 :
Deny from 192.168.0.1 (完整ip地址)
Deny from 192.168 (部分ip地址)
Deny from apache.org (域名)
Allow : 允許訪問;
語法 : 同Deny
Order : 控制預設的訪問狀態與Allow和Deny指令生效的順序, 後執行的規則會覆蓋先執行的規則。
語法 : Order 過濾器規則列表
例如 :
Order Deny,Allow (先判斷Deny的範圍, 再判斷Allow的範圍, Allow的範圍會覆蓋Deny的範圍)
Order Allow,Deny (先判斷Allow的範圍, 再判斷Deny的範圍, Deny的範圍會覆蓋Allow的範圍)
Require:訪問控制
Require all granted #允許所有來源訪問
Require all denied #拒絕所有來源訪問
Require expr expression #允許表示式為true時訪問
Require ip 10 172.20 192.168.2 #允許 特定IP段訪問,多個段之前用空格隔開。每個段使用開頭幾項表示
Require host splaybow.com #只允許來自域名splaybow.com的主機訪問
下面舉例:
所以,最常用的是:
Order Deny,Allow
Allow from All
<VirtualHost *:80> ServerName localhost ServerAlias localhost DocumentRoot "${INSTALL_DIR}/www" <Directory "${INSTALL_DIR}/www/"> Options +Indexes +Includes +FollowSymLinks +MultiViews AllowOverride All Order Deny,Allow Allow from all Require all granted </Directory> </VirtualHost>
注意“Deny,Allow”中間只有一個逗號,也只能有一個逗號,有空格都會出錯;單詞的大小寫不限。上面設定的含義是先設定“先檢查禁止設定,沒有禁止的全部允許”,而第二句沒有Deny,也就是沒有禁止訪問的設定,直接就是允許所有訪問了。這個主要是用來確保或者覆蓋上級目錄的設定,開放所有內容的訪問權。
按照上面的解釋,下面的設定是無條件禁止訪問:
Order Allow,Deny
Deny from All
如果要禁止部分內容的訪問,其他的全部開放:
Order Deny,Allow
Deny from ip1 ip2
或者
Order Allow,Deny
Allow from all
Deny from ip1 ip2
apache會按照order決定最後使用哪一條規則,比如上面的第二種方式,雖然第二句allow允許了訪問,但由於在order中allow不是最後規則,因此還需要看有沒有deny規則,於是到了第三句,符合ip1和ip2的訪問就被禁止了。注意,order決定的“最後”規則非常重要,下面是兩個錯誤的例子和改正方式:
Order Deny,Allow
Allow from all
Deny from domain.org
錯誤:想禁止來自domain.org的訪問,但是deny不是最後規則,apache在處理到第二句allow的時候就已經匹配成功,根本就不會去看第三句。
解決方法:Order Allow,Deny,後面兩句不動,即可。
Order Allow,Deny
Allow from ip1
Deny from all
錯誤:想只允許來自ip1的訪問,但是,雖然第二句中設定了allow規則,由於order中deny在後,所以會以第三句deny為準,而第三句的範圍中又明顯包含了ip1(all include ip1),所以所有的訪問都被禁止了。
解決方法一:直接去掉第三句。
解決方法二:
Order Deny,Allow
Deny from all
Allow from ip1
下面是測試過的例子:
--------------------------------
Order deny,allow
allow from all
deny from 219.204.253.8
#全部都可以通行
-------------------------------
Order deny,allow
deny from 219.204.253.8
allow from all
#全部都可以通行
-------------------------------
Order allow,deny
deny from 219.204.253.8
allow from all
#只有219.204.253.8不能通行
-------------------------------
Order allow,deny
allow from all
deny from 219.204.253.8
#只有219.204.253.8不能通行
-------------------------------
-------------------------------
Order allow,deny
deny from all
allow from 219.204.253.8
#全部都不能通行
-------------------------------
Order allow,deny
allow from 219.204.253.8
deny from all
#全部都不能通行
-------------------------------
Order deny,allow
allow from 219.204.253.8
deny from all
#只允許219.204.253.8通行
-------------------------------
Order deny,allow
deny from all
allow from 219.204.253.8
#只允許219.204.253.8通行
-------------------------------
--------------------------------
Order deny,allow
#全部都可以通行(預設的)
-------------------------------
Order allow,deny
#全部都不能通行(預設的)
-------------------------------
Order allow,deny
deny from all
#全部都不能通行
-------------------------------
Order deny,allow
deny from all
#全部都不能通行
-------------------------------
對於上面兩種情況,如果換成allow from all,則全部都可以通行!
-------------------------------
Order deny,allow
deny from 219.204.253.8
#只有219.204.253.8不能通行
-------------------------------
Order allow,deny
deny from 219.204.253.8
#全部都不能通行
-------------------------------
Order allow,deny
allow from 219.204.253.8
#只允許219.204.253.8通行
-------------------------------
Order deny,allow
allow from 219.204.253.8
#全部都可以通行
-------------------------------
-------------------------------
order deny,allow
allow from 218.20.253.2
deny from 218.20
#代表拒絕218.20開頭的IP,但允許218.20.253.2通過;而其它非218.20開頭的IP也都允許通過。
-------------------------------
order allow,deny
allow from 218.20.253.2
deny from 218.20
#和上面的差不多,只是掉換的order語句中的allow、deny先後順序,但最終結果表示全部都拒絕!
form:http://hi.baidu.com/enjoypain/blog/item/f48c7aecdba298d12f2e21ac.html
前段時間做了個Apache的HTTP代理伺服器,其中的order allow,deny這部分弄的不太懂,於是上網找資料看,誰知道越看越糊塗,其中有些難以分辨對錯甚至是誤導。就像破解windows系統密碼的一些文章那樣,很多都是人云亦云的,並沒有經過測試。廢話少說,先把我經過測試後分析總結出來的結論show出來,相信這對大家的理解非常有幫助。
總則——
影響最終判斷結果的只有兩點:
1. order語句中allow、deny的先後順序;
2. allow、deny語句中各自包含的範圍。
溫馨提醒——
1. 修改完配置後要儲存好並重啟Apache服務,配置才能生效;
2. 開頭字母不分大小寫;
3. allow、deny語句不分先後順序,誰先誰後不影響最終判斷結果;但都會被判斷到;
4. order語句中,“allow,deny”之間“有且只有”一個逗號(英文格式的),而且先後順序很重要;
5. Apache有一條預設規則,“order allow,deny”本身就默認了拒絕所有的意思,因為deny在allow的後面;同理,“order deny,allow”本身預設的是允許所有;當然,最終判斷結果還要綜合下面的allow、deny語句中各自所包含的範圍;(也就是說order語句後面可以沒有allow、deny語句)
6. allow、deny語句中,第二個單詞一定是“from”,否則Apache會因錯而無法啟動,
7. “order allow,deny”代表先判斷allow語句再判斷deny語句,反之亦然。
上面說的都是要記住的,而下面說的是我獨創的理解方法。如果有人看了而沒有豁然開朗的感覺,那算是我的失敗!
判斷原則分4步走——
1. 首先判斷預設的;
2. 然後判斷逗號前的;
3. 最後判斷逗號後的;
4. 最終按順序疊加而得出判斷結果。
上面三點我說的簡單而形象,主要是為了便於記憶。暫時不理解不要緊,繼續看下面詳細的解說自然會明白。下面以一個普通例子來做解釋——
order deny,allow
allow from 218.20.253.2
deny from 218.20
1. 所謂“首先判斷預設的”,就是判斷“order deny,allow”這句,它預設是允許所有;
2. 所謂“然後判斷逗號前的”,因為在本例子中的order語句裡面,deny在逗號的前面,所以現在輪到判斷下面的deny語句了——“deny from 218.20”;
3. 所謂“最後判斷逗號後的”,因為在本例子中的order語句裡面,allow在逗號的後面,所以最後輪到判斷下面的allow語句了——“allow from 218.20.253.2”。
4. 所謂“最終按順序疊加而得出判斷結果”,這是一個形象化了的說法,我把每一步判斷都看作一個“不透明的圖層”,然後一步步按順序疊加上去,最終得出的“影象”就是判斷結果。
用過作圖軟體的人應該都知道“圖層”是怎麼回事,我估計Apache關於order allow deny這方面的設計理念和photoshop等作圖軟體關於圖層的設計理念是一樣的。即“遊戲規則”是一樣的。
那麼上面的例子就可以是這麼一個步驟和影象——
1. 先畫一個白色的大圓,代表“order deny,allow”語句,預設意思是允許所有;
2. 然後畫一個小一點的黑色圓,代表“deny from 218.20”語句,意思是拒絕所有以218.20開頭的IP,放進白色的大圓裡面;
3. 最後再畫一個白色的圓,代表“allow from 218.20.253.2”語句,意思是允許218.20.253.2通過,放在黑色圓的上面。
4. 到此為止,我們已經可以看到一個結果了,白色大圓上面有一個黑色圓,黑色圓上面還有一個白色圓。最後,我們所能看到的黑色部分就是拒絕通行的,剩下的白色部分都是允許通行的。判斷的結果就是這麼簡單形象!
如果不懂的用作圖軟體,我們再來個非常貼近生活的比喻——
把上面的例子改動一點點,以便更好的理解:
order deny,allow
allow from 218.20.253.2
deny from 219.30
1. 首先拿一張A4白紙,代表第order語句,意思是允許全部;
2. 然後拿一張黑色紙剪一個圓,放在A4紙裡面的某個位置上,代表deny語句,意思是拒絕所有以219.30開頭的IP;
3. 最後拿白紙再剪一個圓,放在黑色圓的旁邊,代表allow語句,意思是允許218.20.253.2通過;注意,這個例子不是放進黑色圓裡面了,因為deny和allow語句不再有相互包含的關係了。
4. A4紙上面有一個黑色圓和一個白色圓,結果自然很明顯了。不過白色的A4紙上再放一個白色的圓,顯然是多餘的了,因為大家都是白色的,都代表允許,所以就重複了,可以去掉白色的圓而不會影響判斷結果。
如果看到這裡還沒明白,那一定是我還有什麼沒說清楚的。那麼請好好分析我所做過的測試例子,將在最後列出來。
在這裡再囉嗦一下,allow、deny語句後面跟的引數有多種形式,有不同的表達方式,我在網上看到的做法是deny from IP1 IP2 IP3或allow from domain.com等。其它的表達方式大家再找別的資料看吧。我想說的是另一種表達方式:
order deny,allow
allow from IP1 IP2
allow from domain.info
allow from 219.20.55.0/24
deny from all
我沒具體驗證過這是否對,不過這樣是可以正常啟動Apache服務的,按道理應該是正確的表達方式。哈哈,像我這樣的入門者只能這樣了,還希望大家多多指教!
下面是測試過的例子:
--------------------------------
Order deny,allow
allow from all
deny from 219.204.253.8
#全部都可以通行
-------------------------------
Order deny,allow
deny from 219.204.253.8
allow from all
#全部都可以通行
-------------------------------
Order allow,deny
deny from 219.204.253.8
allow from all
#只有219.204.253.8不能通行
-------------------------------
Order allow,deny
allow from all
deny from 219.204.253.8
#只有219.204.253.8不能通行
-------------------------------
-------------------------------
Order allow,deny
deny from all
allow from 219.204.253.8
#全部都不能通行
-------------------------------
Order allow,deny
allow from 219.204.253.8
deny from all
#全部都不能通行
-------------------------------
Order deny,allow
allow from 219.204.253.8
deny from all
#只允許219.204.253.8通行
-------------------------------
Order deny,allow
deny from all
allow from 219.204.253.8
#只允許219.204.253.8通行
-------------------------------
--------------------------------
Order deny,allow
#全部都可以通行(預設的)
-------------------------------
Order allow,deny
#全部都不能通行(預設的)
-------------------------------
Order allow,deny
deny from all
#全部都不能通行
-------------------------------
Order deny,allow
deny from all
#全部都不能通行
-------------------------------
對於上面兩種情況,如果換成allow from all,則全部都可以通行!
-------------------------------
Order deny,allow
deny from 219.204.253.8
#只有219.204.253.8不能通行
-------------------------------
Order allow,deny
deny from 219.204.253.8
#全部都不能通行
-------------------------------
Order allow,deny
allow from 219.204.253.8
#只允許219.204.253.8通行
-------------------------------
Order deny,allow
allow from 219.204.253.8
#全部都可以通行
-------------------------------
-------------------------------
order deny,allow
allow from 218.20.253.2
deny from 218.20
#代表拒絕218.20開頭的IP,但允許218.20.253.2通過;而其它非218.20開頭的IP也都允許通過。
-------------------------------
order allow,deny
allow from 218.20.253.2
deny from 218.20
#和上面的差不多,只是掉換的order語句中的allow、deny先後順序,但最終結果表示全部都拒絕