Nginx 經過 Lua + Redis 實現動態封禁 IP

1。背景

爲了禁止一些爬蟲或惡意用戶請求的服務器，咱們須要建立一個動態IP黑名單。對於黑名單內的IP，拒絕提供服務。

兩。建築

實現IP黑名單的方法有不少種。

1，在操做系統層面，配置iptables和拒絕指定IP的網絡需求。

二、在Web服務器層，IP黑名單是經過配置nginx的否認選項或Lua插件。

3，在應用程序級別，在請求服務以前檢查客戶端IP是否爲黑名單。

爲了方便管理和共享，實現了IP黑名單功能經過nginx lua使用框架+ +。

3、實現

一、安裝 Nginx+Lua模塊，推薦使用 OpenResty，這是一個集成了各類 Lua 模塊的 Nginx 服務器：

OpenResty

二、安裝並啓動 Redis 服務器；

三、配置 Nginx 示例：

ginx 配置

其中

lua_shared_dict ip_blacklist 1m;

由 Nginx 進程分配一塊 1M 大小的共享內存空間，用來緩存 IP 黑名單，參見：

https://github.com/openresty/lua-nginx-module#lua_shared_dict

access_by_lua_file lua/ip_blacklist.lua;

指定 lua 腳本位置

四、配置 lua 腳本，按期從 Redis 獲取最新的 IP 黑名單，文件內容參見：

https://gist.github.com/Ceelog/39862d297d9c85e743b3b5111b7d44cb

lua 腳本內容

五、在 Redis 服務器上新建 Set 類型的數據 ip_blacklist，並加入最新的 IP 黑名單。

完成以上步驟後，從新加載 nginx，配置便開始生效了

這時訪問服務器，若是你的 IP 地址在黑名單內的話，將出現拒絕訪問：

拒絕訪問

4、總結

以上，即是 Nginx+Lua+Redis 實現的 IP 黑名單功能，具備以下優勢：

一、配置簡單、輕量，幾乎對服務器性能不產生影響；

二、多臺服務器能夠經過Redis實例共享黑名單；

三、動態配置，能夠手工或者經過某種自動化的方式設置 Redis 中的黑名單。