nginxでローカルユーザーのみを許可する

一部のVHostのアクセスを制限して、127.0.0.1のみがアクセスできるようにします。私は常にこのようなものを使用して、外部ホストではなくローカルホストにVHostをバインドしました。

server {
    listen 127.0.0.1;
    server_name myvhost.local;
    location / {
        ....
    }
}

しかし、いくつかのチュートリアルにはallow、localhostの明示的なディレクティブも含まれており、他のすべてを明示的に拒否していることに気付きました。

server {
    listen 127.0.0.1;
    server_name myvhost.local;
    location / {
        allow 127.0.0.1;
        deny all;
        ...
    }
}

すでに127.0.0.1でのみリッスンしている場合、これらのallow/ denyディレクティブは本当に必要ですか？

このlistenディレクティブは、Webサーバーが自分自身をバインドするインターフェイスについてオペレーティングシステムに指示します。そのため、netstat -anginxの起動後に見ると、nginxは127.0.0.1 IPポート80のみでリッスンしていることがわかります。これは、nginxサーバーが他のインターフェイスを介して到達できないことを意味します。

特定のIPアドレスへのバインドは、nginx設定内のallow/ denyディレクティブよりも実際のネットワークスタックの下位レベルで機能します。

これは、接続がネットワークスタックの下位に制限されるため、ユースケースの構成内に個別のallow/ denyディレクティブが必要ないことを意味します。

/ ディレクティブlisten 80;のみを指定してallow/ denyディレクティブを使用すると、nginxはHTTPエラーコードをクライアントに送信し、アクセスが拒否されたことを通知します。

このlisten 127.0.0.1;場合、ブラウザが接続するTCPポートが開いていないため、ブラウザはサーバーにまったく接続できません。

ネットワークIDが192.168.1.0であるとしましょう。confファイルを次のように編集します。

location / {
  # block one workstation
  deny    192.168.1.1;
  # allow anyone in 192.168.1.0/24
  allow   192.168.1.0/24;
  # drop rest of the world
  deny    all;
}

どのように機能するか教えてください。

編集＃1：

はい、Nginxの公式wikiによると、allowディレクティブは必須です。例は次のとおりです。

location / {
    allow 192.168.1.1/24;
    allow 127.0.0.1;
    deny 192.168.1.2;
    deny all;
}

同じ機能（nginxのローカルユーザーのみを許可する）を実現したかったので、次のような簡単なことができることがわかりました。

server {
    listen 127.0.0.1:80;

    index index.html index.htm index.nginx-debian.html;

    location = /favicon.ico { access_log off; log_not_found off; }

    location /static/ {
        root /path/to/folder;
    }       

    location / {
        include proxy_params;
    }
}

この設定ファイルは私のためにうまく機能します、私はallowディレクティブを使用していませんが、のみを使用し、それにより127.0.0.1:80ローカルユーザーのみにnginxアクセスを制限することができます！