Как предотвратить попадание на сайт по https://12.34.56.78?

Question

[Геннадий]

Здравствуйте, господа. Имеется связка Nginx + PHP7-FPM. Недавно "созрел" для того, чтобы воспользоваться SSL-сертификатами от Let's Encrypt, дабы перейти с HTTP на HTTPS. Случайно обнаружил в /var/log/nginx/access.log записи, что ко мне пытаются заходить по адресу https://12.34.56.78. Подскажите, пожалуйста, как можно прекратить это безобразие? C HTTP вопросов никаких нет - там всё отсеивается с помощью маленького конфига /etc/nginx/sites-available/default.conf:

server {
    listen                     80 default_server;
    return                     444;
}

где при попытке зайти по http: //12.34.56.78 выводится сообщение о том, что соединение сброшено:

Каким образом можно добиться того же для HTTPS?

Answer 1

[Xilian]

Просто задать server_name www.имя.домен. Должно помочь.

Comments

[Геннадий]

К сожалению, не помогло. Если совсем схематично, то идея такова:

http://my.site.com        - 200 OK
http://<динамический IP>  - 403 Forbidden
https://my.site.com       - 200 OK
https://<динамический IP> - 403 Forbidden

[Xilian]

Убери default_server.

[Геннадий]

Xilian, что именно нужно сделать? Я удалил файл /etc/nginx/sites-available/defaults.conf, содержащий:

server {
    root            "";
    server_name     "";
    listen          80 default_server;
    access_log      off;
    log_not_found   off;

    location / {
        return      444;
    }
}

В файле /etc/nginx/sites-available/my.site.com.conf прописано:

server {
    server_name                 my.site.com;
    root                        /home/my.site.com/www;
    listen                      80;
    access_log                  /var/log/nginx/access.log;
    error_log                   /var/log/nginx/error.log error;

    location ~* \.php$ {
        include               fastcgi_params;
        fastcgi_index         index.php;
        fastcgi_keep_conn     on;
        fastcgi_pass          unix:/var/run/php/php7.0-fpm_my.site.com.sock;
    }
}

server {
    server_name               my.site.com;
    root                      /home/my.site.com/www;
    listen                    443 ssl;
    ssl_session_cache         shared:SSL:10m;
    ssl_session_timeout       10m;
    ssl_prefer_server_ciphers on;
    ssl_protocols             TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers               "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
    add_header                Strict-Transport-Security 'max-age=63072000; includeSubDomains; preload' always;
    ssl_certificate           /etc/letsencrypt/live/my.site.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/my.site.com/privkey.pem;
    ssl_trusted_certificate   /etc/letsencrypt/live/my.site.com/chain.pem;
    access_log                /var/log/nginx/access.log;
    error_log                 /var/log/nginx/error.log error;

    location ~* \.php$ {
        include               fastcgi_params;
        fastcgi_index         index.php;
        fastcgi_keep_conn     on;
        fastcgi_pass          unix:/var/run/php/php7.0-fpm_my.site.com.sock;
    }
}

Захожу на my.site.com - сайт открывается
Захожу на xxx.xxx.xxx.xxx - сайт открывается (а должно быть 403)
Захожу на https://my.site.com - сайт открывается
Захожу на https://xxx.xxx.xxx.xxx - сайт не открывается. Пишет: "Ваше соединение
не защищено. Владелец xxx.xxx.xxx.xxx неправильно настроил свой веб-сайт. Чтобы
защитить вашу информацию от кражи, Firefox не соединился с этим веб-сайтом.
Подробнее…" (а должно быть 403).

Answer 2

[Wexter]

server {
listen 443 ssl;

server_name 12.34.56.78;

return 444;
}

Comments

[Геннадий]

А если IP динамический?

[Wexter]

Геннадий, тогда поднимайте listen 443 ssl default_server
а домены заводите отдельными секциями server

Answer 3

[Виктор Таран]

listen 80 default_server;
Помоему тут все очевидно
Перевести на русский?
Собираю весь мусор который непонятно какому сайту пренадлежит ( по умолчанию любому домену всему что доступно) - это мусорка дев нул местный.
По сути на этом локейшене должен висеть файлик .html
здрасти вы попали на сеервер такой то но что-то пошло не так и вы попали в отстой.

Почему ваш сайт висит на этом говне?
Ответ потому что для легкости инсталяции первый сайт почему-то вешают сюда, поскольку он будет работать при любом раскладе, а то что к нему появится хренова туча зеркал так это никто не парится.
Создавай отдельный конфиг под сайт.

https://nginx.ru/ru/docs/http/server_names.html