Nginx 通過 Lua + Redis 實現動態封禁 IP

摘要： 一、背景 為了封禁某些爬蟲或者惡意使用者對伺服器的請求，我們需要建立一個動態的 IP 黑名單。對於黑名單之內的 IP ，拒絕提供服務。 二、架構 實現 IP 黑名單的功能有很多途徑： 1、在作業系統層面，配置 iptables，拒絕指定 IP 的網路請求； 2、在 ...

一、背景

為了封禁某些爬蟲或者惡意使用者對伺服器的請求，我們需要建立一個動態的 IP 黑名單。對於黑名單之內的 IP ，拒絕提供服務。

二、架構

實現 IP 黑名單的功能有很多途徑：

1、在作業系統層面，配置 iptables，拒絕指定 IP 的網路請求；

2、在 Web Server 層面，通過 Nginx 自身的 deny 選項 或者 lua 外掛 配置 IP 黑名單；

3、在應用層面，在請求服務之前檢查一遍客戶端 IP 是否在黑名單。

為了方便管理和共享，我們通過 Nginx+Lua+Redis 的架構實現 IP 黑名單的功能，架構圖如下：

架構圖三、實現

1、安裝 Nginx+Lua模組，推薦使用 OpenResty，這是一個集成了各種 Lua 模組的 Nginx 伺服器：

OpenResty

2、安裝並啟動 Redis 伺服器；

3、配置 Nginx 示例：

Nginx 配置

其中

lua_shared_dict ip_blacklist 1m;

由 Nginx 程序分配一塊 1M 大小的共享記憶體空間，用來快取 IP 黑名單，參見：

ofollow,noindex" target="_blank">https://github.com/openresty/l ... d_dic t" rel="nofollow" target="_blank">https://github.com/openresty/lua-nginx-module#lua_shared_dict

access_by_lua_file lua/ip_blacklist.lua;

指定 lua 指令碼位置

4、配置 lua 指令碼，定期從 Redis 獲取最新的 IP 黑名單，檔案內容參見：

https://gist.github.com/Ceelog ... 7d44c b" rel="nofollow" target="_blank">https://gist.github.com/Ceelog/39862d297d9c85e743b3b5111b7d44cb

lua 指令碼內容

5、在 Redis 伺服器上新建 Set 型別的資料 ip_blacklist，並加入最新的 IP 黑名單。

完成以上步驟後，重新載入 nginx，配置便開始生效了

這時訪問伺服器，如果你的 IP 地址在黑名單內的話，將出現拒絕訪問：

拒絕訪問四、總結

以上，便是 Nginx+Lua+Redis 實現的 IP 黑名單功能，具有如下優點：

1、配置簡單、輕量，幾乎對伺服器效能不產生影響；

2、多臺伺服器可以通過Redis例項共享黑名單；

3、動態配置，可以手工或者通過某種自動化的方式設定 Redis 中的黑名單。

（還有疑問？聯絡作者微博/微信 @Ceelog）

作者：Ceelog

連結： https://www.jianshu.com/p/20b6883e62ea

來源：簡書