nginx ip黑名單動態封禁的方法
這篇文章主要介紹“nginx ip黑名單動態封禁的方法”���,在日常操作中�,相信很多人在nginx ip黑名單動態封禁的方法問題上存在疑惑�����,小編查閱了各式資料����,整理出簡單好用的操作方法��,希望對大家解答”nginx ip黑名單動態封禁的方法”的疑惑有所幫助����!接下來����,請跟著小編一起來學習吧�����!
1.方案
黑名單持久化到mysql (常見的方案是redis�����,但不利于控制����,如:不同的ip設置不同的有效期��、ip的crud���、統計等等)�;
通過lua-nginx-module����,在nginx中開辟一塊內存(lua_shared_dict)��,lua將黑名單定期從mysql全量刷新至lua_shared_dict����;
所有請求����,都要到與lua_shared_dict中的ip check一下�。
2.安裝
2.1 安裝luajit
cd luajit-2.0.5
make
make install prefix=/usr/local/luajit
2.2.安裝nginx時����,將lua模塊編譯進去
export luajit_lib=/usr/local/luajit/lib
export luajit_inc=/usr/local/luajit/include/luajit-2.1
./configure --prefix=/nginx \
--with-ld-opt="-wl,-rpath,/usr/local/luajit/lib" \
--add-module=/opt/ngx_devel_kit-0.3.1rc1 \
--add-module=/opt/lua-nginx-module-0.10.14rc3
make -j2
make install
ln -s /nginx/sbin/nginx /usr/sbin/nginx
3.配置
3.1 nginx配置
http {
server_tokens off;
lua_package_path "/usr/local/lib/lua/?.lua;;";
lua_shared_dict ip_blacklist 4m;
}
server {
set $real_ip $remote_addr;
if ( $http_x_forwarded_for ~ "^(\d+\.\d+\.\d+\.\d+)" ) {
set $real_ip $1;
}
# 管理信息��,訪問該url可以查看nginx中的ip黑名單信息
location /get-ipblacklist-info {
access_by_lua_file conf/lua/get_ipblacklist_info.lua;
}
# 同步url����,通過定時任務調用該url,實現ip黑名單從mysql到nginx的定時刷新
location /sync-ipblacklist {
access_by_lua_file conf/lua/sync_ipblacklist.lua;
}
# 生產域名配置�,所有需要ip黑名單控制的location���,都要包含以下語句
location / {
access_by_lua_file conf/lua/check_realip.lua;
}
}nginx服務器配置以下crrontab
* * * * * /usr/bin/curl -o /dev/null -s http://127.0.0.1/sync-ipblacklist > /dev/null 2>&1
3.2 lua腳本
sync_ipblacklist.lua
local mysql_host = "ip of mysql server"
local mysql_port = 3306
local database = "dbname"
local username = "user"
local password = "password"
-- update ip_blacklist from mysql once every cache_ttl seconds
local cache_ttl = 1
local mysql_connection_timeout = 1000
local client_ip = ngx.var.real_ip
local ip_blacklist = ngx.shared.ip_blacklist
local last_update_time = ip_blacklist:get("last_update_time");
if last_update_time == nil or last_update_time < ( ngx.now() - cache_ttl ) then
local mysql = require "resty.mysql";
local red = mysql:new();
red:set_timeout(mysql_connect_timeout);
local ok, err, errcode, sqlstate = red:connect{
host = mysql_host,
port = mysql_port,
database = database,
user = username,
password = password,
charset = "utf8",
max_packet_size = 1024 * 1024,
}
if not ok then
ngx.log(ngx.err, "mysql connection error while retrieving ip_blacklist: " .. err);
else
new_ip_blacklist, err, errcode, sqlstate = red:query("select ip_addr from ip_blacklist where status = 0 order by create_time desc limit 10000", 100)
if not new_ip_blacklist then
ngx.log(ngx.err, "bad result. errcode: " .. errcode .. " sqlstate: " .. sqlstate .. " err: " .. err);
return
end
ip_blacklist:flush_all();
for k1, v1 in pairs(new_ip_blacklist) do
for k2, v2 in pairs(v1) do
ip_blacklist:set(v2,true);
end
end
ip_blacklist:set("last_update_time", ngx.now());
end
end
ngx.say("sync successful");get_ipblacklist_info.lua
-- 調用url查看黑名單信息
-- 1萬ip消耗不到1.5m ngx.shared內存
-- 獲取所有key會堵塞別的正常請求對ngx.shared內存的訪問�,因此只能取少數key展示
require "resty.core.shdict"
ngx.say("total space: " .. ngx.shared.ip_blacklist:capacity() .. "<br/>");
ngx.say("free space: " .. ngx.shared.ip_blacklist:free_space() .. "<br/>");
ngx.say("last update time: " .. os.date("%y%m%d_%h:%m:%s",ngx.shared.ip_blacklist:get("last_update_time")) .. "<br/>");
ngx.say("first 100 keys: <br/>");
ngx.say("--------------------------<br/>");
ip_blacklist = ngx.shared.ip_blacklist:get_keys(100);
for key, value in pairs(ip_blacklist) do
ngx.say(key .. ": " .. value .. "<br/>");
endcheck_realip.lua
if ngx.shared.ip_blacklist:get(ngx.var.real_ip) then
return ngx.exit(ngx.http_forbidden);
end
3.3 數據庫設計
create table `ip_blacklist` (
`id` int(11) not null auto_increment,
`ip_addr` varchar(15) collate utf8mb4_bin default null,
`status` int(11) default '0' comment '0: valid 有效, 1: invalid 失效',
`effective_hour` decimal(11,2) default '24' comment '有效期����,單位:小時',
`ip_source` varchar(255) collate utf8mb4_bin default null comment '黑名單來源',
`create_time` datetime default current_timestamp,
`modify_time` datetime default current_timestamp on update current_timestamp,
`remark` varchar(255) collate utf8mb4_bin default null comment '備注',
primary key (`id`)
) engine=innodb default charset=utf8mb4 collate=utf8mb4_bin;
create procedure proc_ip_blacklist_status_update()
-- 將過期的ip狀態改為失效
begin
update ip_blacklist
set status=1
where date_add(create_time,interval effective_hour hour) < now();
commit;
end;
create event job_ip_blacklist_status_update
on schedule every 1 minute
on completion preserve
enable
do
call proc_ip_blacklist_status_update();
4 crud
黑名單產生有手工的方式�����,也有自動的方式��,或者兩者兼有�����。
自動的方式有通過python分析elk日志��,將惡意ip自動寫入mysql����,這是個大話題�,這里不涉及���。
手工的方式可以人肉查看elk請求日志���,發現惡意ip�,手工填入mysql�,這里推薦一個開源的crud工具�����,用戶體驗很nice(比直接navicat好多了)�����,當然也可以自己寫……
項目的強大之處在于���,所有表都幫你生成菜單���,然后這些表的crud就直接用了����。
具體操作見官方說明�,就不贅述了�����。
到此�����,關于“nginx ip黑名單動態封禁的方法”的學習就結束了�����,希望能夠解決大家的疑惑���。理論與實踐的搭配能更好的幫助大家學習��,快去試試吧����!若想繼續學習更多相關知識�,請繼續關注億速云網站����,小編會繼續努力為大家帶來更多實用的文章���!
