HTTPS経由のウェブサーバーIPへの直接アクセスをブロックする

this および this question と同様に、ユーザーがIPを使用してサーバーにアクセスするのをブロックします。

HTTP（ポート80）の場合、これは正常に機能しますが、HTTPSの場合は機能しません。したがって、ユーザーはhttps://<myip> Webサーバーにアクセスし、nginxはデフォルトの証明書を返します。ところで、「通常の」サーバーブロック（ドメイン名を含む）でHTTP2を使用しているため、次のように使用します。

listen 443 ssl http2;
listen [::]:443 ssl http2;

これを試して、HTTPS IPアクセスをブロックしました：

server {
   listen 443 ssl;
   listen [::]:443 ssl;

   server_name _;
   return 444;
}

ただし、残念ながら、これはドメインが使用されているかどうかに関係なく、すべてのHTTPS要求をブロックします。もちろん、SNI以外のクライアントをブロックする必要があるかもしれません。もちろん、これらは使用済みのドメイン名をサーバーに配信しないので、問題はありません。 （とにかく、SNIをサポートしていないクライアントは古いです...）

私は通常、これをnginxでブロックすることを好みますが、ファイアウォールレベル（iptables）でこれをブロックすることについていくつかのアイデアがあれば、これらも喜んで感謝します。また、iptablesでブロックする方が良い理由を主張したい場合は、これを実行して、IPへのHTTP [またはその他すべての]リクエストもブロックするように説得できます。通常、接続のドロップは問題ありません（nginxステータスコード444と同様）。

ただし、要件が1つあります。サーバーのIPアドレスは動的IPであり、サーバーは動的DNSサービスを使用するため、サーバーのIPアドレスを構成で明示的に述べたくありません。

要するに、これが私が達成したいことです：

• iP経由のアクセスをブロックする
• ドメイン名によるアクセスを許可
• 非SNIクライアントをブロックしても問題ありません
• これにはファイアウォールブロッキングを使用しても問題ありません
• 接続を削除しても問題ありません
• サーバーのIPアドレスは言及しない
• hTTPS経由でドメイン名を公開しない

編集：もう一度失敗しました。私は この提案 に従い、この構成スニペットを使用しようとしましたが、これは論理的には良いことのように思われます。

if ($Host != "example.com") {
        return 444;
}

基本的には機能しますが、「https：//」にアクセスすると、nginxは最初にHTTPS証明書（ドメイン名を含む）をすでに送信していることがわかり、接続警告をスキップした場合にのみ、アクセスがブロックされていることがわかります。 nginxはHTTPS接続がある場合にのみHostヘッダーを読み取ることができるため、これは論理的ですが、この時点でnginxはすでにドメイン名を含むサーバー証明書を送信しているため、ユーザーはドメイン名を取得し、それを使用して再接続してIP全体を作成できます役に立たないブロッキング。また、nginxがすべてのリクエストのホストヘッダーをチェックするため、このソリューションのパフォーマンスの側面についても少し心配しています。そのため、ここでソリューションを探しています。