Как задать правило для nginx, чтобы исключить все запросы, кроме нескольких разрешённых путей?

Question

[uralmas]

В последнее время активизировались боты, которые стучатся по широко известным уязвимостям. Хотелось бы закрыть все запросы (которые могут быть неверно истолкованы движком), кроме тех, которые начинаются с определённых папок. Например, разрешены:

• /news/
  
• /forum/
  
• /shop/
  

А все остальные, которые начинаются не с этих папок, сразу получили 404.
Хочу разместить после всех основных location'ов, так чтобы не мешало выполнению основных направлений.

Answer 1

[Softer]

Можно сделать 3 location, а корень увести в 404.
Можно сдедать 1 location ^/(news|forum|shop), а корень увести в 404.
Можно сделать map с регулярной по request_uri и от переменной уводить в 404.

Мне нравится второй вариант :)

Comments

[uralmas]

У меня в корне лежат много правил, и после location / ещё много настроек и rewrite'ов. Хотелось бы сделать 404 после всего этого.

[Softer]

Тогда лучше увидеть конфиг...

[uralmas]

location / {
	#Куча разных location'ов

	location ~ [^/]\.ph(p\d*|tml)$ {
		try_files /does_not_exists @php;
	}
}

#Куча разных location'ов, разграничивающих правила доступа к разным частям сайта

#<-- Сюда я хочу вставить эти правила, т.к. они могут участвовать в rewrite

#rewrite

location @php {
	...
}

[Softer]

uralmas,

location / {
  #Куча разных location'ов

  location ~ [^/]\.ph(p\d*|tml)$ {
    try_files /does_not_exists @php;
  }
  return 404;
}

Так все что не попало в location корня уйдет в 404 (если я верно этот кусок конфига истолковал).

[uralmas]

Но всё равно остаётся проблема, когда мне нужно ограничить количество начальных папок в пути запроса, т.к. не все эти папки есть в location'ах. Плюс мне надо для всех статических файлов, лежащих в корне, писать location'ы.
Т.е. мне надо что-то типа location ~ !^/(news|forum|shop)/ { }

[Softer]

uralmas,

не нужно ограничить количество начальных папок в пути запроса, т.к. не все эти папки есть в location'ах

Вот это не понял вообще

[uralmas]

Не обязательно папок, а секций запросов (ограниченной с двух сторон слэшами). По этой первой секции проще будет ограничить нежелательные). Это может быть статический или исполняемый файл, например:
/shop/a.png
/forum/index.php

Либо это может быть ЧПУ-ссылка, например:
/news/
/news/1.html

[Softer]

uralmas, ну так а в чем вопрос? Регулярка вида ^/news/ включает и /news/1.html

[uralmas]

Так мне не надо задекларировать все возможные запросы, а нужно одной регуляркой запретить все запросы, которые начинаются не с определённых слов. Т.е. "инвертный" location.
Задекларировать все "нужные" запросы, т.к. у некоторых папок сложная структура, у них некоторыми location-ами ограничивается доступ или применяются уникальные параметры.
Всё это подразумевает, что для всего, что не задекларировано прямо, применяются общие настройки.
Т.е. в вашем варианте, где выдаётся 404 ошибка, у меня применяются общие настройки для всех типов ресурсов.
Так что этот вариант неприменим к моему случаю, иначе конфиг вырастет в десятки раз.

[uralmas]

Посмотрел насчёт map - этот вариант больше подходит мне. Можете помочь с примером, как это должно выглядеть?

[Softer]

uralmas, наверно как-то так...

map $request_uri $forb {
    default       1;
    "~^/news/" 0;
    "~^/shop/" 0;
}

...

if ($forb = 1) {
return 404;
}