Apache配置中的Order Allow Deny详解
时间:2014-07-30 09:18 来源:枫竹梦 作者:枫竹梦
Allow和Deny可以用于apache的conf文件或者.htaccess文件中(配合Directory, Location, Files等),用来控制目录和文件的访问授权。
基本语法
所以,最常用的是:
001
Order Deny,Allow
002
Allow from All
注意“Deny,Allow”中间只有一个逗号,也只能有一个逗号,有空格都会出错;单词的大小写不限。第一句设定的含义是“先检查禁止设定,没有禁止的全部允许,再检查允许设定”,而第二句没有Deny,也就是没有禁止访问的设定,直接就是允许所有访问了。这个主要是用来确保或者覆盖上级目录的设置,开放所有内容的访问权。
阅读规则
影响最终判断结果的只有两点:
-
1. order语句中allow、deny的先后顺序;
-
2. allow、deny语句中各自包含的范围。
上面的规则翻译一下,就是下面的含义:
-
1. 修改完配置后要保存好并重启Apache服务,配置才能生效;
-
2. 开头字母不分大小写;
-
3. allow、deny语句不分先后顺序,谁先谁后不影响最终判断结果;但都会被判断到;
-
4. order语句中,“allow,deny”之间“有且只有”一个逗号(英文格式的),而且先后顺序很重要;
-
5. Apache有一条缺省规则,“order allow,deny”本身就默认了拒绝所有的意思,因为deny在allow的后面;同理,“order deny,allow”本身默认的是允许所有;当然,最终判断结果还要综合下面的allow、deny语句中各自所包含的范围;(也就是说order语句后面可以没有allow、deny语句)
-
6. allow、deny语句中,第二个单词一定是“from”,否则Apache会因错而无法启动,
-
7. “order allow,deny”代表先判断allow语句再判断deny语句,反之亦然。
简单示例
按照上面的解释,下面的设定是无条件禁止访问:
001
Order Allow,Deny
002
Deny from All
如果要禁止部分内容的访问,其他的全部开放:
001
Order Deny,Allow
002
Deny from ip1 ip2
或者
001
Order Allow,Deny
002
Allow from all
003
Deny from ip1 ip2
apache会按照order决定最后使用哪一条规则,比如上面的第二种方式,虽然第二句allow允许了访问,但由于在order中allow不是最后规则,因此还需要看有没有deny规则,于是到了第三句,符合ip1和ip2的访问就被禁止了。注意,order决定的“最后”规则非常重要,下面是两个错误的例子和改正方式:
001
Order Deny,Allow
002
Allow from all
003
Deny from domain.org
错误:想禁止来自domain.org的访问,但是deny不是最后规则,apache在处理到第二句allow的时候就已经匹配成功,根本就不会去看第三句。
解决方法:Order Allow,Deny,后面两句不动,即可。
001
Order Allow,Deny
002
Allow from ip1
003
Deny from all
错误:想只允许来自ip1的访问,但是,虽然第二句中设定了allow规则,由于order中deny在后,所以会以第三句deny为准,而第三句的范围中又明显包含了ip1(all include ip1),所以所有的访问都被禁止了。
解决方法一:直接去掉第三句。
解决方法二:
001
Order Deny,Allow
002
Deny from all
003
Allow from ip1
更多实例
下面是测试过的例子:
001
--------------------------------
002
Order deny,allow
003
allow from all
004
deny from 219.204.253.8
005
#全部都可以通行
006
-------------------------------
007
Order deny,allow
008
deny from 219.204.253.8
009
allow from all
010
#全部都可以通行
011
-------------------------------
012
Order allow,deny
013
deny from 219.204.253.8
014
allow from all
015
#只有219.204.253.8不能通行
016
-------------------------------
017
Order allow,deny
018
allow from all
019
deny from 219.204.253.8
020
#只有219.204.253.8不能通行
021
-------------------------------
022
-------------------------------
023
Order allow,deny
024
deny from all
025
allow from 219.204.253.8
026
#全部都不能通行
027
-------------------------------
028
Order allow,deny
029
allow from 219.204.253.8
030
deny from all
031
#全部都不能通行
032
-------------------------------
033
Order deny,allow
034
allow from 219.204.253.8
035
deny from all
036
#只允许219.204.253.8通行
037
-------------------------------
038
Order deny,allow
039
deny from all
040
allow from 219.204.253.8
041
#只允许219.204.253.8通行
042
-------------------------------
043
--------------------------------
044
Order deny,allow
045
#全部都可以通行(默认的)
046
-------------------------------
047
Order allow,deny
048
#全部都不能通行(默认的)
049
-------------------------------
050
Order allow,deny
051
deny from all
052
#全部都不能通行
053
-------------------------------
054
Order deny,allow
055
deny from all
056
#全部都不能通行
057
-------------------------------
对于上面两种情况,如果换成allow from all,则全部都可以通行!
001
-------------------------------
002
Order deny,allow
003
deny from 219.204.253.8
004
#只有219.204.253.8不能通行
005
-------------------------------
006
Order allow,deny
007
deny from 219.204.253.8
008
#全部都不能通行
009
-------------------------------
010
Order allow,deny
011
allow from 219.204.253.8
012
#只允许219.204.253.8通行
013
-------------------------------
014
Order deny,allow
015
allow from 219.204.253.8
016
#全部都可以通行
017
-------------------------------
018
-------------------------------
019
order deny,allow
020
allow from 218.20.253.2
021
deny from 218.20
022
#代表拒绝218.20开头的IP,但允许218.20.253.2通过;而其它非218.20开头的IP也都允许通过。
023
-------------------------------
024
order allow,deny
025
allow from 218.20.253.2
026
deny from 218.20
027
#和上面的差不多,只是掉换的order语句中的allow、deny先后顺序,但最终结果表示全部都拒绝!
(责任编辑:IT)
Allow和Deny可以用于apache的conf文件或者.htaccess文件中(配合Directory, Location, Files等),用来控制目录和文件的访问授权。 基本语法所以,最常用的是:
注意“Deny,Allow”中间只有一个逗号,也只能有一个逗号,有空格都会出错;单词的大小写不限。第一句设定的含义是“先检查禁止设定,没有禁止的全部允许,再检查允许设定”,而第二句没有Deny,也就是没有禁止访问的设定,直接就是允许所有访问了。这个主要是用来确保或者覆盖上级目录的设置,开放所有内容的访问权。 阅读规则影响最终判断结果的只有两点:
上面的规则翻译一下,就是下面的含义:
简单示例按照上面的解释,下面的设定是无条件禁止访问:
如果要禁止部分内容的访问,其他的全部开放:
或者
apache会按照order决定最后使用哪一条规则,比如上面的第二种方式,虽然第二句allow允许了访问,但由于在order中allow不是最后规则,因此还需要看有没有deny规则,于是到了第三句,符合ip1和ip2的访问就被禁止了。注意,order决定的“最后”规则非常重要,下面是两个错误的例子和改正方式:
错误:想禁止来自domain.org的访问,但是deny不是最后规则,apache在处理到第二句allow的时候就已经匹配成功,根本就不会去看第三句。
错误:想只允许来自ip1的访问,但是,虽然第二句中设定了allow规则,由于order中deny在后,所以会以第三句deny为准,而第三句的范围中又明显包含了ip1(all include ip1),所以所有的访问都被禁止了。
更多实例下面是测试过的例子:
对于上面两种情况,如果换成allow from all,则全部都可以通行!
(责任编辑:IT) |