Nginx 經過 Lua + Redis 實現動態封禁 IP

背景

爲了封禁某些爬蟲或者惡意用戶對服務器的請求，咱們須要創建一個動態的 IP 黑名單。對於黑名單以內的 IP ，拒絕提供服務。

架構

實現 IP 黑名單的功能有不少途徑：
一、在操做系統層面，配置 iptables，拒絕指定 IP 的網絡請求；
二、在 Web Server 層面，經過 Nginx 自身的 deny 選項 或者 lua 插件 配置 IP 黑名單；
三、在應用層面，在請求服務以前檢查一遍客戶端 IP 是否在黑名單。

爲了方便管理和共享，咱們選擇經過 Nginx+Lua+Redis 的架構實現 IP 黑名單的功能，架構圖以下：

實現

一、安裝 Nginx+Lua模塊，推薦使用 OpenResty，這是一個集成了各類 Lua 模塊的 Nginx 服務器：

二、安裝並啓動 Redis 服務器；
三、配置 Nginx 示例：

Nginx 配置

其中

lua_shared_dict ip_blacklist 1m;

由 Nginx 進程分配一塊 1M 大小的共享內存空間，用來緩存 IP 黑名單。

access_by_lua_file lua/ip_blacklist.lua;

指定 lua 腳本位置。

四、配置 lua 腳本，按期從 Redis 獲取最新的 IP 黑名單。

五、在 Redis 服務器上新建 Set 類型的數據 ip_blacklist，並加入最新的 IP 黑名單。

完成以上步驟後，從新加載 nginx，配置便開始生效了。這時訪問服務器，若是你的 IP 地址在黑名單內的話，將出現拒絕訪問，以下圖：

總結

以上，即是 Nginx+Lua+Redis 實現的 IP 黑名單功能，具備以下優勢：

一、配置簡單、輕量，幾乎對服務器性能不產生影響；二、多臺服務器能夠經過Redis實例共享黑名單；三、動態配置，能夠手工或者經過某種自動化的方式設置 Redis 中的黑名單。