您好,登錄后才能下訂單哦!
這篇文章主要介紹“nginx ip黑名單動(dòng)態(tài)封禁的方法”,在日常操作中,相信很多人在nginx ip黑名單動(dòng)態(tài)封禁的方法問題上存在疑惑,小編查閱了各式資料,整理出簡(jiǎn)單好用的操作方法,希望對(duì)大家解答”nginx ip黑名單動(dòng)態(tài)封禁的方法”的疑惑有所幫助!接下來,請(qǐng)跟著小編一起來學(xué)習(xí)吧!
1.方案
黑名單持久化到mysql (常見的方案是redis,但不利于控制,如:不同的ip設(shè)置不同的有效期、ip的crud、統(tǒng)計(jì)等等);
通過lua-nginx-module,在nginx中開辟一塊內(nèi)存(lua_shared_dict),lua將黑名單定期從mysql全量刷新至lua_shared_dict;
所有請(qǐng)求,都要到與lua_shared_dict中的ip check一下。
2.安裝
2.1 安裝luajit
cd luajit-2.0.5 make make install prefix=/usr/local/luajit
2.2.安裝nginx時(shí),將lua模塊編譯進(jìn)去
export luajit_lib=/usr/local/luajit/lib export luajit_inc=/usr/local/luajit/include/luajit-2.1 ./configure --prefix=/nginx \ --with-ld-opt="-wl,-rpath,/usr/local/luajit/lib" \ --add-module=/opt/ngx_devel_kit-0.3.1rc1 \ --add-module=/opt/lua-nginx-module-0.10.14rc3 make -j2 make install ln -s /nginx/sbin/nginx /usr/sbin/nginx
3.配置
3.1 nginx配置
http { server_tokens off; lua_package_path "/usr/local/lib/lua/?.lua;;"; lua_shared_dict ip_blacklist 4m; } server { set $real_ip $remote_addr; if ( $http_x_forwarded_for ~ "^(\d+\.\d+\.\d+\.\d+)" ) { set $real_ip $1; } # 管理信息,訪問該url可以查看nginx中的ip黑名單信息 location /get-ipblacklist-info { access_by_lua_file conf/lua/get_ipblacklist_info.lua; } # 同步url,通過定時(shí)任務(wù)調(diào)用該url,實(shí)現(xiàn)ip黑名單從mysql到nginx的定時(shí)刷新 location /sync-ipblacklist { access_by_lua_file conf/lua/sync_ipblacklist.lua; } # 生產(chǎn)域名配置,所有需要ip黑名單控制的location,都要包含以下語句 location / { access_by_lua_file conf/lua/check_realip.lua; } }
nginx服務(wù)器配置以下crrontab
* * * * * /usr/bin/curl -o /dev/null -s http://127.0.0.1/sync-ipblacklist > /dev/null 2>&1
3.2 lua腳本
sync_ipblacklist.lua
local mysql_host = "ip of mysql server" local mysql_port = 3306 local database = "dbname" local username = "user" local password = "password" -- update ip_blacklist from mysql once every cache_ttl seconds local cache_ttl = 1 local mysql_connection_timeout = 1000 local client_ip = ngx.var.real_ip local ip_blacklist = ngx.shared.ip_blacklist local last_update_time = ip_blacklist:get("last_update_time"); if last_update_time == nil or last_update_time < ( ngx.now() - cache_ttl ) then local mysql = require "resty.mysql"; local red = mysql:new(); red:set_timeout(mysql_connect_timeout); local ok, err, errcode, sqlstate = red:connect{ host = mysql_host, port = mysql_port, database = database, user = username, password = password, charset = "utf8", max_packet_size = 1024 * 1024, } if not ok then ngx.log(ngx.err, "mysql connection error while retrieving ip_blacklist: " .. err); else new_ip_blacklist, err, errcode, sqlstate = red:query("select ip_addr from ip_blacklist where status = 0 order by create_time desc limit 10000", 100) if not new_ip_blacklist then ngx.log(ngx.err, "bad result. errcode: " .. errcode .. " sqlstate: " .. sqlstate .. " err: " .. err); return end ip_blacklist:flush_all(); for k1, v1 in pairs(new_ip_blacklist) do for k2, v2 in pairs(v1) do ip_blacklist:set(v2,true); end end ip_blacklist:set("last_update_time", ngx.now()); end end ngx.say("sync successful");
get_ipblacklist_info.lua
-- 調(diào)用url查看黑名單信息 -- 1萬ip消耗不到1.5m ngx.shared內(nèi)存 -- 獲取所有key會(huì)堵塞別的正常請(qǐng)求對(duì)ngx.shared內(nèi)存的訪問,因此只能取少數(shù)key展示 require "resty.core.shdict" ngx.say("total space: " .. ngx.shared.ip_blacklist:capacity() .. "<br/>"); ngx.say("free space: " .. ngx.shared.ip_blacklist:free_space() .. "<br/>"); ngx.say("last update time: " .. os.date("%y%m%d_%h:%m:%s",ngx.shared.ip_blacklist:get("last_update_time")) .. "<br/>"); ngx.say("first 100 keys: <br/>"); ngx.say("--------------------------<br/>"); ip_blacklist = ngx.shared.ip_blacklist:get_keys(100); for key, value in pairs(ip_blacklist) do ngx.say(key .. ": " .. value .. "<br/>"); end
check_realip.lua
if ngx.shared.ip_blacklist:get(ngx.var.real_ip) then return ngx.exit(ngx.http_forbidden); end
3.3 數(shù)據(jù)庫(kù)設(shè)計(jì)
create table `ip_blacklist` ( `id` int(11) not null auto_increment, `ip_addr` varchar(15) collate utf8mb4_bin default null, `status` int(11) default '0' comment '0: valid 有效, 1: invalid 失效', `effective_hour` decimal(11,2) default '24' comment '有效期,單位:小時(shí)', `ip_source` varchar(255) collate utf8mb4_bin default null comment '黑名單來源', `create_time` datetime default current_timestamp, `modify_time` datetime default current_timestamp on update current_timestamp, `remark` varchar(255) collate utf8mb4_bin default null comment '備注', primary key (`id`) ) engine=innodb default charset=utf8mb4 collate=utf8mb4_bin; create procedure proc_ip_blacklist_status_update() -- 將過期的ip狀態(tài)改為失效 begin update ip_blacklist set status=1 where date_add(create_time,interval effective_hour hour) < now(); commit; end; create event job_ip_blacklist_status_update on schedule every 1 minute on completion preserve enable do call proc_ip_blacklist_status_update();
4 crud
黑名單產(chǎn)生有手工的方式,也有自動(dòng)的方式,或者兩者兼有。
自動(dòng)的方式有通過python分析elk日志,將惡意ip自動(dòng)寫入mysql,這是個(gè)大話題,這里不涉及。
手工的方式可以人肉查看elk請(qǐng)求日志,發(fā)現(xiàn)惡意ip,手工填入mysql,這里推薦一個(gè)開源的crud工具,用戶體驗(yàn)很nice(比直接navicat好多了),當(dāng)然也可以自己寫……
項(xiàng)目的強(qiáng)大之處在于,所有表都幫你生成菜單,然后這些表的crud就直接用了。
具體操作見官方說明,就不贅述了。
到此,關(guān)于“nginx ip黑名單動(dòng)態(tài)封禁的方法”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí),請(qǐng)繼續(xù)關(guān)注億速云網(wǎng)站,小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。