nginx+lua 配置302 不改写白名单哈希表

最新推荐文章于 2023-09-26 19:35:03 发布
最新推荐文章于 2023-09-26 19:35:03 发布
阅读量560 收藏
点赞数
分类专栏: lua 运营经验 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39015563/article/details/87259234
版权
运营经验 同时被 3 个专栏收录
15 篇文章 0 订阅
订阅专栏
nginx
7 篇文章 0 订阅
订阅专栏
lua
5 篇文章 0 订阅
订阅专栏

配置说明:302 和 refresh 头部不改写主要是使用lua 中的 deny_rewrite 函数在进行判断,每一次请求都要进行一次字符串分割和逐条匹配 效率低下,对于大量域名白名单场景不适用。现在使用哈希表方式进行。
原先 使用

	for w in string.gmatch(location_deny_strs, "%S+") do
		if string.find(src_str, w) ~= nil then
			ngx.log(ngx.ERR, "location_deny_rewrite", w)
			return 1
		end
	end


1. 全局配置 http 块,定义lua 共享哈希表:

    lua_shared_dict _ipv6_whitedb_dict 50m;

2. init.lua 文件,进行初始化哈希表(在文件尾部添加即可):

    local file = io.open("/usr/local/nginx/conf/ipv6_whitedb", "r")
    if (file == nil) then
    	ngx.log(ngx.ERR, "lua open ipv6_whitedb ERROR")
    end
    
    local data = file:read("*line")
    local ipv6_whitedb_dict = ngx.shared._ipv6_whitedb_dict
    while data ~= nil do
    	for w in string.gmatch(data, "%S+") do
    		ok, err = ipv6_whitedb_dict:safe_add(w, 1)
    		if ok == nil then
    			ngx.log(ngx.ERR, "lua safe_add ipv6_whitedb_dict host error ", w, " error ", err)
    		end
    	end
    	data = file:read("*line")
    end

3. deny_rewrite 函数增加白名单查找判断逻辑(在函数末尾rewrite 0前添加,每一个域名都要进行本域名各级泛域名查找)

    	local ipv6_whitedb_dict = ngx.shared._ipv6_whitedb_dict
    	local len = #src_str
    	if (ipv6_whitedb_dict == nil) or (len <= 0) then
    		return 0
    	end
    	local v1,flag1 = ipv6_whitedb_dict:get(src_str)
    	if (v1 ~= nil) then
    		return 1
    	end
    	for i = 1,len do
    		local c = string.sub(src_str, i, i)
    		if (string.byte(c) == 46) then
    			local cross_domain = "*"..string.sub(src_str, i, len)
    			local v2,flag2 = ipv6_whitedb_dict:get(cross_domain)
    			if (v2 ~= nil) then
    				return 1
    			end
    		end
    	end
zengxiaobai
关注
专栏目录
Redis框架从入门到学精(全)
码农研究僧的博客
07-02 2万+
目录前言1.NoSQL2.Redis2.1 软件安装数据类型 前言 解决功能新问题:JAVA jsp rdsms tomcat html linux jdbc svn 解决发展性问题:strtus spring springmvc hibernate mybatis 解决性能问题:NOSQL java 线程 hadoop nginx mq elasticsearch 1.NoSQL NoSQL特点 非关系型数据库,不依赖业务逻辑数据库存储,以简单key-value存储 适用于 ~高并发读写 ~海量数据读
史上最全Redis面试49题(含答案):哨兵+复制+事务+集群+持久化等
热门推荐
weixin_33890526的博客
12-11 2万+
继续最全Java面试答案系列篇,已经持续的更新了最全mysql、spring、多线程等面试答案。本文篇幅过长,建议收藏后慢慢细看,希望能对你的面试之旅有所帮助! 文末有该最全系列答案获取方式哦~ Redis支持哪几种数据类型?支持多种类型的数据结构1.string:最基本的数据类型,二进制安全的字符串,最大512M。2.list:按照添加...
Nginx通过geo模块设置白名单的例子
09-29
今天小编就为大家分享一篇Nginx通过geo模块设置白名单的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
nginx + lua 白名单机制
jovisoft的专栏
07-14 2992
webshell 都有一个特点,几乎都是通过POST来进行功能的操作。 无论是 简单的 “一句话”webshell 还是 类似 phpspy 之类的。 当我们开启了POST白名单。那么没有通过我们认证的POST 都是不允许通过的,从而可以防止线上已经存在的 或 新上传的 webshell。 belial waf 白名单配置: 1、 nginx.conf 设置 在 http 节 添加
Nginx一致性哈希模块的Lua实现
weixin_33976072的博客
04-02 228
Nginx一致性哈希模块的Lua重新实现   技术背景: 最近在工作中使用了nginx+redis 的架构,redis在后台做分布式存储,每个redis都存放不同的数据,这些数据都是某门户网站通过Hadoop分析出来的用户行为日志,key是uid,value是user profile,每小时更新量在500-800万条记录,而这些记录一旦生成,我需要在5分钟左右的时间完成所有导入过程。   ...
nginx+redis +lua脚本实现nginx 302临时跳转
weixin_33767813的博客
06-01 448
实现过程: nginx+redis +lua的环境,前一篇博文已经部署好在服务器上安装好redis后,记得要安装php的redis扩展,由于开发语言是php,所以要安装redis的扩展,这样才能php程序操作redis,php脚本存入key到redis中,通过请求url来实现nginx 302跳转 在nginx.conf文件中http标签添加如下内容: [root@localhost ~]# gr...
Nginx+Lua实现动态黑名单
祈雨v的博客
12-23 5839
介绍 通过nginx+lua+redis可以实现nginx动态从redis读取需要拒绝的ip黑名单列表,并拒绝黑名单ip的访问请求。 其中redis中的ip黑名单列表既可以人工后台手动添加,也可以用类似logstash+elasticsearch的组合,实现logstash实时读取nginx的访问日志access.log,elasticsearch储存并聚合访问日志中的访问记录,再由一个分析程序定...
Lua搜索引擎构建实战:算法实践与应用案例
在当今的信息爆炸时代,搜索引擎已经成为我们获取信息不可或缺的工具。然而,传统的搜索引擎往往依赖于较为成熟的编程语言和技术栈,而近年来,随着轻量级脚本语言Lua的兴起,基于Lua的搜索引擎逐渐走入人们的视野。...
最全Redis49个面试题目及答案:线程设计+哨兵+复制+事务+集群+持久化等
mikechen的互联网架构
12-17 520
Redis支持哪几种数据类型? 支持多种类型的数据结构 1.string:最基本的数据类型,二进制安全的字符串,最大512M。 2.list:按照添加顺序保持顺序的字符串列表。 3.set:无序的字符串集合,不存在重复的元素。 4.sorted set:已排序的字符串集合。 5.hash:key-value对的一种集合。 Redis主要有哪些功能? 1.哨兵(Sentinel)和复制(Replic...
Redis相关知识点
qq_30959903的博客
07-13 529
关于redis的相关知识点
动态ip黑白名单ngx_white_black_listnginx.zip
07-19
功能描述: 处在黑名单中的ip与网络,将无法访问web服务。 处在白名单中的ip,访问web服务时,将不受nginx所有安全模块的限制。 支持动态黑名单(需要与ngx_http_limit_req 配合)
nginx代理多次302的解决方法(nginx Follow 302)
01-10
用proxy_intercept_errors和recursive_error_pages代理多次302 302是HTTP协议中的一个经常被使用状态码,是多种重定向方式的一种,其语义经常被解释为“Moved Temporarily”。这里顺带提一下,现实中用到的302多为误用(与303,307混用),在HTTP/1.1中,它的语义为“Found”. 302有时候很明显,有时候又比较隐蔽。最简单的情况,是当我们在浏览器中输入一个网址A,然后浏览器地址栏会自动跳到B,进而打开一个网页,这种情况就很可能是302。 比较隐蔽的情况经常发生在嵌入到网页的播放器中。例如,当你打开一个优酷视频播放页面时,
Nginx白名单防御模块belialwaf.zip
07-18
这个程序是基于 nginx lua module . 运行平台是 linux freebsd 的 nginx 。。 WIN 的 你可以用个 linux 的 nginx 做反向代理 保护后面的服务。 Belial 目前包含的模块有 : GET 、 POST 、 COOKIE SQL注入防御、文件上传控制、POST白名单审核、nginx路径解释防御、封IP、 自动拦截防御 cc防御。 防御面向的语言是 php .. 其他的~不做考虑 。启用 belial waf 在性能损耗上基本可以忽略~ 有问题请联系俺。 俺的微博: http://weibo.com/shajj 系列使用教程 1、nginx lua 和 belial waf 安装配置 http://www.dwz.cn/awGdk 2、我线上的配置(包括config.luanginx.conf的配置) https://github.com/nixuehan/Belial/tree/master/example 3、belial waf 目录结构和文件解释 http://dwz.cn/axyOW 4、配置文件参数解释 http://www.dwz.cn/awCYM 5、基本防御机制 http://dwz.cn/axfxQ 6、post白名单机制 http://dwz.cn/axBrV 7、自动拦截机制 http://dwz.cn/axD74 8、CC防御机制 http://dwz.cn/axGjD 9、日志文件 http://dwz.cn/axGN3 标签:belial
ngx_lua 一致性hash实现
weixin_33750452的博客
09-30 487
ngx_lua出来很长时间了,但一直没有关注过,最近有一个I/O密集型的项目,用PHP性能严重不足,但是通过C开发扩展成本很大,对需求也不能及时响应,结果尝试了一下lua,结果非常喜人,他的同步非阻塞I/O,协同程序等等,让他的性能无与伦比!在项目的开发中需要用到consistent hash来保证缓存的可靠性,所以就写了一个hash算法,跟大...
nginx lua 配置cc 防攻击-使用lua 配置白名单
qq_39015563的博客
02-13 1520
nginx lua 配置cc 防攻击-使用lua 配置白名单 cc 防攻击和ip 禁止期限 lua_shared_dict _dict 1m; lua_shared_dict _blacklist 10m; lua_shared_dict _whitelist 10m; init_by_lua_file conf/lua/init.lua; lua_package_path &amp;quot;/usr/loc...
302状态码_你见过 HTTP 哪些状态码?
weixin_39663378的博客
11-27 430
❝好久没有写技术文章,今天在四川广元无事,总结一篇。附一张今天早上在嘉陵江遇见的白鹡鸰 (不是我拍的)❞白鹡鸰101 Switch Protocol200 Ok201 Created204 No Content206 Partial Content301 Moved Permanently302 Found304 Not Modified307 Temporary Redirect400...
openresty使用lua拦截proxy_pass重定向301 302
blue_sky的博客
04-23 6101
前言: 在使用nginx proxy_pass后端资源时候,有时候后端会返回301、302、304重定向,这样导致用户等浏览器直接访问来最终的等资源,无法经过nginx proxy_pass,这种时候nginx代理就没有意义了。openresty集成了lua,通过lua可以在nginx返回客户端的时候,修改包头,改写重定向规则,即可处理重定向问题 302示例,访问资源一个资源:正常ngin...
.htaccess实现301网页永久重定向及302临时重定向
SalmonellaVaccine的专栏
09-25 3745
http://blog.sina.com.cn/s/blog_4e2d571901013imy.html 常用的重定向方式有: 301 redirect, 302 redirect 与 meta fresh: 301 redirect: 301代表永久性转移(Permanently Moved),301重定向是网页更改地址后对搜索引擎友好的最好方法,只要不是暂时搬移的情况,都建议使用
如何给Nginx配置访问IP白名单
最新发布
lxw1844912514的博客
09-26 1万+
如果想增加允许访问的IP范围,例如10.10.10.0~10.10.10.255,需要使用CIDR格式表示你的IP范围,在Nginx中默认仅允许IP地址和CIDR格式,CIDR转IPv4网站:https://www.ipaddressguide.com/cidr。给的,将需要做301跳转的IP,直接写到/tmp/ip文件中,支持网段,一行一个,添加后不需要重启nginx,即时生效。不确定或者不能访问外网的话,就在nginx的报错日志里找,logs/error.log,能找到访问此nginx的IP。
详述Nginx+Lua开发环境安装及配置过程
本文将详细介绍如何在Linux系统上安装Nginx+Lua开发环境,以OpenResty作为基础,它是一个由Nginx核心和众多第三方模块组成的工具包,其中特别强调了它内置的Lua开发环境。OpenResty的优势在于利用Nginx的事件驱动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值