lua + redis 实现动态ip黑名单

最新推荐文章于 2025-05-25 23:41:06 发布
原创 最新推荐文章于 2025-05-25 23:41:06 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何使用Lua脚本结合Nginx和Redis实现动态IP黑名单功能,通过定时从Redis同步黑名单至Nginx本地缓存,以提高访问控制效率并减少延迟。文章详细解释了代码逻辑,包括IP获取、缓存刷新和错误处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

lua_shared_dict shared_ip_blacklist 1m; #定义ip_blacklist 本地缓存变量

location /ipblacklist {
    access_by_lua_file /usr/local/lua/access_by_limit_ip.lua;
    echo "ipblacklist";
}

local function close_redis(red)  
    if not red then  
        return
    end  
    --释放连接(连接池实现)  
    local pool_max_idle_time = 10000 --毫秒  
    local pool_size = 100 --连接池大小  
    local ok, err = red:set_keepalive(pool_max_idle_time, pool_size)  
    if not ok then  
        ngx.say("set keepalive error : ", err)  
    end  
end

local function errlog(...)
    ngx.log(ngx.ERR, "redis: ", ...)
end

local function duglog(...)
    ngx.log(ngx.DEBUG, "redis: ", ...)
end

local function getIp()
    local myIP = ngx.req.get_headers()["X-Real-IP"]
    if myIP == nil then
        myIP = ngx.req.get_headers()["x_forwarded_for"]
    end
    if myIP == nil then
        myIP = ngx.var.remote_addr
    end
    return myIP;
end

local key = "limit:ip:blacklist"
local ip = getIp();
local shared_ip_blacklist = ngx.shared.shared_ip_blacklist

--获得本地缓存的最新刷新时间
local last_update_time = shared_ip_blacklist:get("last_update_time");

if last_update_time ~= nil then 
    local dif_time = ngx.now() - last_update_time 
    if dif_time < 60 then --缓存1分钟,没有过期
        if shared_ip_blacklist:get(ip) then
            return ngx.exit(ngx.HTTP_FORBIDDEN) --直接返回403
        end
        return
    end
end

local redis = require "resty.redis"  --引入redis模块
local red = redis:new()  --创建一个对象,注意是用冒号调用的

--设置超时(毫秒)  
red:set_timeout(1000) 
--建立连接  
local ip = "192.168.5.202"  
local port = 6379
local ok, err = red:connect(ip, port)
if not ok then  
    close_redis(red)
    errlog("limit ip cannot connect redis");
else
    local ip_blacklist, err = red:smembers(key);
    
    if err then
        errlog("limit ip smembers");
    else
        --刷新本地缓存,重新设置
        shared_ip_blacklist:flush_all();
        
        --同步redis黑名单 到 本地缓存
        for i,bip in ipairs(ip_blacklist) do
            --本地缓存redis中的黑名单
            shared_ip_blacklist:set(bip,true);
        end
        --设置本地缓存的最新更新时间
        shared_ip_blacklist:set("last_update_time",ngx.now());
    end
end  

if shared_ip_blacklist:get(ip) then
    return ngx.exit(ngx.HTTP_FORBIDDEN) --直接返回403
end
 

基于openresty实现IP名单+时间段访问控制
weixin_45745503的博客
08-22 813
这个配置主要实现的功能就是,拦截非白名单用户访问服务,并且除健康检查外,拒绝11:00~19:00以外的所有请求进来。代码里面还有一些小遐思,比如IPv4和v6地址的检测,如有好办法大家可以讨论讨论,如果有什么问题大家也可以帮忙指出,一起学习。
nginx+lua+redis黑名单加载
07-25
nginx+lua+redis黑名单加载,nginx+lua+redis黑名单加载。
Nginx 通过 Lua + Redis 实现动态封禁 IP
热门推荐
程序猿开发日志【学习永无止境】
03-14 1万+
一、背景 为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态IP 黑名单。对于黑名单之内的 IP ,拒绝提供服务。 二、架构 实现 IP 黑名单的功能有很多途径: 1、在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求; 2、在 Web Server 层面,通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 黑名
基于RedisBloom的JWT黑名单管理方案
最新发布
Hello World!你好世界!
05-25 823
ClientGatewayRedisBloomRedisDB携带JWT的请求BF.EXISTS blacklist {jwt}0(不存在) / 1(可能存在)SISMEMBER blacklist {jwt}精确结果根据结果放行/拦截直接放行alt[可能存在于黑名单][确定不存在]ClientGatewayRedisBloomRedisDB 1.2 技术选型对比 方案 优点 缺点 纯数据库查询 100%准确 QPS低,数据库压力大 纯缓存方案 性能较好 内存消耗大 RedisBloo
使用Nginx OpenResty与Redis实现高效IP黑白名单管理
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
07-15 2536
OpenResty是一个基于Nginx的全功能Web平台,它集成了一系列精心设计的Lua库、第三方模块和一个基于LuaJIT的轻量级Web框架。OpenResty的核心是Nginx,但它通过Lua语言扩展了Nginx的功能,使其能够构建能够处理超高并发的动态Web应用。白名单是一种安全策略,用于定义一组被信任的IP地址或实体,它们被允许访问特定的资源或服务。安全性增强:限制访问权限,仅允许特定的IP地址访问敏感资源。防止滥用:减少恶意用户或爬虫对服务的滥用。流量管理。
Nginx+Lua实现动态黑名单
祈雨v的博客
12-23 5987
介绍 通过nginx+lua+redis可以实现nginx动态redis读取需要拒绝的ip黑名单列表,并拒绝黑名单ip的访问请求。 其中redis中的ip黑名单列表既可以人工后台手动添加,也可以用类似logstash+elasticsearch的组合,实现logstash实时读取nginx的访问日志access.log,elasticsearch储存并聚合访问日志中的访问记录,再由一个分析程序定...
docker中的Nginx限流、nginx+redies+lua动态黑名单ip封禁
baidu_39340547的博客
11-09 3685
nginx限流 在http设置中添加限流的设置,20r/s 每个ip每秒允许20次访问。 设置完成后再需要限流的接口中调用该设置。 http{ limit_req_zone $uri zone=api_read:20m rate=20r/s; } server{ location /test/api { limit_req zone=api_read burst=5 nodelay; } nginx配合redis实现ip自动封禁 前提:nginx加载了lua模块 实现lua的docker镜像(
Redis数据结构Set实战之黑名单校验器
再微小的光也是光,再平凡的人也有他们人生当中的高光时刻,记录学习的一点一滴,相信美好的事情即将发生。
07-14 2246
redis技术解决方案:黑名单过滤器除了针对上文说的淘宝评价,针对用户黑名单外,其实还有ip黑名单、设备黑名单等。在高并发的情况下,通过数据库过滤明显不符合要求,一般的做法都是通过Redis实现的。场景分析:淘宝的商品评价功能,不是任何人就能评价的,有一种职业就是差评师。差评师就是勒索敲诈商家,这种差评师在淘宝里面就被设置了黑名单,即使购买了商品,也评价不了。步骤2:评价的时候验证是否为黑名单,通过sismember命令来实现。步骤1:先把数据库的数据同步到redis的set集合中。
nginx+lua(openresty)实现黑/白名单权限控制
lgq2016的博客
01-18 4923
openresty在nginx基础上集成了很多功能,比如可以直接调用redis,mysql,http接口等服务,比较流行的网关kong就是通过openresty实现的。日常开发和运维离不开nginx,实现稍微复杂的功能:简单权限控制,灰度发布等就可以通过openresty实现。 本文通过openresty定时器定期请求http接口获取更新的黑名单数据,过滤用户并做进一步的判断(结合实际的业务需求)进行权限管控。话不多说,直接上nginx.conf代码如下。 user ...
Openresty之黑名单过滤
小丑鱼的专栏
01-17 1448
有些时候在你配置nginx的时候可能需要做一些黑名单拦截的操作,设置黑名单,拦截存在这个黑名单中的url,使用openresty很方便,使用lua代码在access_by_lua*的过程中添加过滤代码即可实现实现这个功能需要以下几步操作。
4.Nginx整合OpenResty+Lua黑名单控制、内网访问限制、资源下载限速、日志分析、漏桶原理、令牌桶原理)
weixin_43620238的博客
08-05 1686
Nginx整合OpenResty+Lua黑名单控制、内网访问限制、资源下载限速、日志分析、漏桶原理、令牌桶原理)
手机号码黑名单
^_^-Beluga, ^_^-Stefli
12-10 1633
最近一两个月,经常有莫名其妙的手机打来,就是传说中的“响一声”。在此,实在是无法忍受这些SB号码,故列出来警告!有些号码由于没有记录下来故未列出。以下数据由123cha提供。 1.  [查询结果]  您的查询: [手机号码] 13939046683 => 13939046683·本站主数据: [卡号归属地] 河南 郑州        [卡原始类型] 移动全球通预付费
动态ip如何实现_通过OpenResty实现nginx动态拉黑IP
weixin_39698255的博客
12-05 353
前面提到过,nginx在项目中的作用。其实还有很多高级模块功能,例如今天我们利用OpenResty来防止一些IP恶意攻击。OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。官方地址:http://openresty...
nginx ip黑名单动态封禁
sdmei
03-08 1万+
网站被恶意请求,拉黑IP是重要的手段,如果每次拉黑都要到nginx上配置,未免太low了;我们需要更方便的控制nginx IP黑名单。 1.方案 黑名单持久化到mysql (常见的方案是redis,但不利于控制,如:不同的IP设置不同的有效期、IP的CRUD、统计等等); 通过lua-nginx-module,在nginx中开辟一块内存(lua_shared_dict),lua黑名单定期从...
openresty(nginx+lua环境)+redis实现waf,禁封ip 实现访问控制。
weixin_45181900的博客
10-16 1632
WAF 应用型防火墙。 基础环境:CentOS 7.5 openresty :1.15.8.2 搭建直接用官网的搭建,yum安装或者源码编译都随便了。 openresty官网 redisredis-5.0.4 官网可自己下载。 我这里用的是编译安装。 这里我就直接附加一个大佬的安装博客吧。(主要是懒得写)redis安装博客 如果是yum安装不用考虑这个 ** sh-4.2# ...
【openresty】实现动态封禁IP
luolinll1212的专栏
01-14 970
1,介绍 为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态IP 黑名单。 对于黑名单之内的 IP ,拒绝提供服务。
[openresty] cc,黑白名单防御配置
queal的博客
02-09 1523
下载安装 openresty 下载 https://github.com/unixhot/waf 配置 注意事项 在使用 unixhot 开源的 waf lua脚本时, 这里记录几个需要修改的地方 修改nginx.conf 新增以下 到 http 块中,替换{path}为你自己的路径 lua_shared_dict limit 50m; lua_package_path "{path}/openresty-1.19.9.1-win64/lualib/?.lua;{path}/openresty-1.19
nginx+openresty+lua实现WAF防火墙
运维打怪晋级之路
04-09 751
主要实现的功能有: 1、支持IP名单黑名单功能,直接将黑名单IP访问拒绝(白名单权重高于黑名单)。 2、支持URL白名单,将不需要过滤的URL进行定义。 3、支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。 4、支持CC攻击防护,...
让我直接涨薪5K的Nginx/OpenResty详解,NginxLua操作Redis有多牛
m0_63437643的博客
01-13 370
以上代码处于nginx-redis-demo.conf文件中,修改后需要重启OpenRestry,然后可以使用浏览器访问其地址/pool_demo,具体的访问结果如图8-22所示。总之,作为一个专业的服务端开发工程师,大家必须要对连接池有较深理解,其实不论是Redis连接池、HTTP连接池,还是数据库连接池,甚至是线程池,其原理都是差不多的。②坑:如果设置错误,那么red连接对象不一定可用,不能把可用性存疑的连接放回池子里,如果另一个请求从连接池获取到一个不能用的连接,就会直接报错。
Nginx+Lua+Redis动态封禁IP实现配置详解
Redis作为一个分布式缓存,存储动态更新的IP黑名单,供Nginx快速查询。这样,当有新的IP需要封禁时,只需在Redis中更新数据,而无需重启Nginx服务。 要实现这个功能,你需要: 1. 安装OpenResty,这是一个预配置好...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值