Nginx 通过 Lua + Redis 实现动态封禁 IP

最新推荐文章于 2024-07-15 16:47:03 发布
最新推荐文章于 2024-07-15 16:47:03 发布
阅读量2.7k 收藏 2
点赞数 1
分类专栏: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JineD/article/details/121524434
版权

Nginx Lua Redis IP黑名单 服务器防护
关键词由CSDN通过智能技术生成

背景

为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单。对于黑名单之内的 IP ,拒绝提供服务。

架构

实现 IP 黑名单的功能有很多途径:

1、在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求;

2、在 Web Server 层面,通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 黑名单;

3、在应用层面,在请求服务之前检查一遍客户端 IP 是否在黑名单。

为了方便管理和共享,我们选择通过 Nginx+Lua+Redis 的架构实现 IP 黑名单的功能,架构图如下:

图片

实现

1、安装 Nginx+Lua模块,推荐使用 OpenResty,这是一个集成了各种 Lua 模块的 Nginx 服务器:

图片

2、安装并启动 Redis 服务器;

3、配置 Nginx 示例:

图片

Nginx 配置

其中

lua_shared_dict ip_blacklist 1m;

由 Nginx 进程分配一块 1M 大小的共享内存空间,用来缓存 IP 黑名单。

access_by_lua_file lua/ip_blacklist.lua;

指定 lua 脚本位置。

4、配置 lua 脚本,定期从 Redis 获取最新的 IP 黑名单。

图片

附文本代码如下: 

local redis_host = "youn.redis.server.here"
local redis_port = 6379

-- connection timeout for redis in ms.don't set this too highl

local redis_connection_timeout = 100

-- check a set with this key for blacklist entries

local redis_key = "ip_blacklist"

-- cache lookups for this many seconds

local cache_ttl = 60

-- end configuration

local ip = ngx.var.remote_addr
local ip_blacklist = ngx.shared.ip_blacklist
local last_update_time = ip_blacklist:get("last_update_time");

-- only update ip_blacklist from Redis once every cache_ttl seconds:
if last_update_time -- nil or last_update_time < ( ngx.now() - cache_ttl ) then

  local redis = require "resty.redis";
  local red = redis:new();

  red:set_timeout(redis_connect_timeout);

  local ok, err = red:connect(redis_host, redis_port);
  if not ok then
    ngx.log(ngx.DEBUG, "Redis connection error while retrieving ip_blacklist: " .. err);
  else
    local new_ip_blacklist, err - red:smembers(redis_key);
    if err then
    ngx.log(ngx.DEBUG, "Redis read error while retrieving ip_blacklist: " .. err);
    else
      -- Peplace the locally stored ip_blacklist with the updated values:
      ip_blacklist:flush_all();
      for index, banned_ip in ipairs(new_ip_blacklist) do
      ip_blacklist:set(banned_ip, true);
      end
      -- update time
      ip_blacklist:set("last_update_time", ngx.now());
    end
  end
end

if ip_blacklist:get(ip) then
  ngx.log(ngx.DEBUG, "Banned IP detected and refused access: " ..  ip);
  return ngx.exit(ngx.HTTP_FORBIDDEN);
end

 5、在 Redis 服务器上新建 Set 类型的数据 ip_blacklist,并加入最新的 IP 黑名单。

完成以上步骤后,重新加载 nginx,配置便开始生效了。这时访问服务器,如果你的 IP 地址在黑名单内的话,将出现拒绝访问,如下图:

图片

总结

以上,便是 Nginx+Lua+Redis 实现的 IP 黑名单功能,具有如下优点:

  • 配置简单、轻量,几乎对服务器性能不产生影响;

  • 多台服务器可以通过Redis实例共享黑名单;

  • 动态配置,可以手工或者通过某种自动化的方式设置 Redis 中的黑名单。

戴国进
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nginx ip黑名单动态封禁的例子
01-11
网站被恶意请求,拉黑IP是重要的手段,如果每次拉黑都要到nginx上配置,未免太low了;我们需要更方便的控制nginx IP黑名单。 1.方案 黑名单持久化到mysql (常见的方案是redis,但不利于控制,如:不同的IP设置不同的有效期、IP的CRUD、统计等等); 通过lua-nginx-module,在nginx中开辟一块内存(lua_shared_dict),lua将黑名单定期从mysql全量刷新至lua_shared_dict; 所有请求,都要到与lua_shared_dict中的IP check一下。 2.安装 2.1 安装luajit cd LuaJIT-2.0.5 mak
Nginx利用Lua+Redis实现动态封禁IP的方法
01-10
本文给大家介绍的是Nginx利用Lua+Redis实现动态封禁IP的方法,下面话不多说了,来一起看看详细的介绍吧 二、架构 实现 IP 黑名单的功能有很多途径: 1、在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求; 2...
nginx lua redis java_Nginx 通过 Lua + Redis 实现动态封禁 IP
weixin_36454202的博客
03-02 277
背景为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态IP 黑名单。对于黑名单之内的 IP ,拒绝提供服务。架构实现 IP 黑名单的功能有很多途径:1、在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求;2、在 Web Server 层面,通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 黑名单;3、在应用层面,在请求服务之前检查一遍客户端...
使用Nginx OpenResty与Redis实现高效IP黑白名单管理
最新发布
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
07-15 1343
OpenResty是一个基于Nginx的全功能Web平台,它集成了一系列精心设计的Lua库、第三方模块和一个基于LuaJIT的轻量级Web框架。OpenResty的核心是Nginx,但它通过Lua语言扩展了Nginx的功能,使其能够构建能够处理超高并发的动态Web应用。白名单是一种安全策略,用于定义一组被信任的IP地址或实体,它们被允许访问特定的资源或服务。安全性增强:限制访问权限,仅允许特定的IP地址访问敏感资源。防止滥用:减少恶意用户或爬虫对服务的滥用。流量管理。
Nginx自动封禁IP
hcc_lucky的博客
01-11 827
个人网站总被攻击?那就写个自动封禁IP的脚本吧。
nginx配置自动封ip
qq_32394351的博客
11-25 3191
自己写了个脚本,用于服务器自动抵御异常爬虫程序 #!/bin/bash banip_run(){ nginx_home=/usr/sbin/nginx log_path=/var/log/nginx nginx_etc=/etc/nginx/conf.d maxcn=3000 history=50000 cat /dev/null > $log_path/ban_ip_tmp.txt tail -n$history $log_path/access.log \ |awk '{print $1,$
nginx+lua+redis通过匹配客户端ip进行灰度发布
06-29
nginx+lua+redis通过匹配客户端ip进行灰度发布 本文将讲述如何使用nginxluaredis实现灰度发布,通过匹配客户端IP实现灰度发布。灰度发布是一种常见的软件发布方式,它允许开发者在生产环境中发布新的版本,...
nginx+lua+redis 集群 连接插件和脚本
12-09
在这个“nginx+lua+redis集群”解决方案中,提供的连接插件可能是指NginxRedis之间的通信模块,例如lua-redis-pconnector,这个插件允许Nginx通过Lua脚本直接与Redis进行交互。而脚本部分可能包括了处理业务逻辑、...
Nginx+Lua+Redis构建高并发Web应用
09-10
总结起来,Nginx+Lua+Redis的组合提供了一种强大的工具集,能够有效地处理高并发Web应用的需求。通过在Nginx中集成Lua,我们可以处理复杂的业务逻辑,而Redis则作为快速数据存储和访问的后端。这种架构不仅提高了...
机房布线的最高境界……
weixin_44421461的博客
08-29 619
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析...
Nginx如何封禁IPIP段的实现
09-29
主要介绍了Nginx如何封禁IPIP段的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Ngnix IP封禁以及实现自动封禁IP
qq_38925100的博客
03-25 5126
1.在ngnix的conf目录下创建一个blockip.conf文件 2.里面放需要封禁IP,格式如下 deny 1.2.3.4; 3.在ngnix的HTTP的配置中添加如下内容 include blockips.conf; 4.重启 ngnix /usr/local/nginx/sbin/nginx -s reload 然后你就会看到IP封禁了,你会喜提403; 7.小思考:如何实现使用ngnix自动封禁ip的功能 1.AWK统计access.log,记录每分钟访问超过60次的ip,然后
蓝易云:nginx+lua+ngx+redis实现WAF引用web防火墙动态封禁访问频繁的IP
高性价比服务器就选:蓝易云
09-29 217
以上就是使用Nginx+Lua+ngx_lua模块+Redis实现Web防火墙(WAF)动态封禁频繁访问IP的简要步骤。这种方案可以有效地保护Web服务器免受频繁访问和恶意请求的影响。请注意,具体的配置和规则根据实际需求进行调整,以确保WAF的安全性和有效性。中,我们获取客户端IP地址,并以其为键在共享字典中查找该IP的访问次数。如果访问次数超过了设定的限制,则拒绝访问并返回HTTP_FORBIDDEN(403)状态码。上述配置中,我们使用了ngx_lua模块的。,用于存储IP地址的访问次数。
Nginx结合Lua——Nginx通过Lua+Redis实现自动封禁访问频率高的IP
CapejasmineY的博客
10-12 1382
文章目录实验背景实验一、安装使用 OpenResty二、安装Redis三、在Nginx中使用Lua脚本访问Redis四、Nginx+Lua+Redis 实验背景 为了防止某恶意用户多次对服务器端口进行攻击,我们需要建立一个动态IP 黑名单。对于黑名单之内的 IP ,拒绝提供服务。 实现 IP 黑名单的功能有很多途径: 在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求; 在 Web Server 层面,通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 黑名单;
Nginx Openresty通过Lua+Redis 实现动态封禁IP
乐辞的博客
11-27 2112
为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态IP 黑名单。对于黑名单中的 IP ,我们将拒绝提供服务。并且可以设置封禁失效时间
nginx+lua+redis 单机模式和集群模式 lua连接redis
07-29
总而言之,nginx+lua+redis单机模式适用于小型应用或测试环境,而nginx+lua+redis集群模式适用于处理更多并发请求和存储大量数据的场景,可以通过lua脚本和redis连接库来实现redis集群的通信和数据操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

戴国进

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值