真实的国产乱ⅩXXX66竹夫人,五月香六月婷婷激情综合,亚洲日本VA一区二区三区,亚洲精品一区二区三区麻豆

成都創(chuàng)新互聯(lián)網(wǎng)站制作重慶分公司

nginxip黑名單動態(tài)封禁的方法

這篇文章主要介紹“nginx ip黑名單動態(tài)封禁的方法”,在日常操作中,相信很多人在nginx ip黑名單動態(tài)封禁的方法問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”nginx ip黑名單動態(tài)封禁的方法”的疑惑有所幫助!接下來,請跟著小編一起來學(xué)習(xí)吧!

員工經(jīng)過長期磨合與沉淀,具備了協(xié)作精神,得以通過團隊的力量開發(fā)出優(yōu)質(zhì)的產(chǎn)品。創(chuàng)新互聯(lián)建站堅持“專注、創(chuàng)新、易用”的產(chǎn)品理念,因為“專注所以專業(yè)、創(chuàng)新互聯(lián)網(wǎng)站所以易用所以簡單”。公司專注于為企業(yè)提供做網(wǎng)站、成都網(wǎng)站設(shè)計、微信公眾號開發(fā)、電商網(wǎng)站開發(fā),重慶小程序開發(fā),軟件定制網(wǎng)站設(shè)計等一站式互聯(lián)網(wǎng)企業(yè)服務(wù)。

1.方案

黑名單持久化到MySQL (常見的方案是redis,但不利于控制,如:不同的ip設(shè)置不同的有效期、ip的crud、統(tǒng)計等等);

通過lua-nginx-module,在nginx中開辟一塊內(nèi)存(lua_shared_dict),lua將黑名單定期從mysql全量刷新至lua_shared_dict;

所有請求,都要到與lua_shared_dict中的ip check一下。

2.安裝

2.1 安裝luajit

cd luajit-2.0.5
make
make install prefix=/usr/local/luajit

2.2.安裝nginx時,將lua模塊編譯進去

export luajit_lib=/usr/local/luajit/lib
export luajit_inc=/usr/local/luajit/include/luajit-2.1
 
./configure --prefix=/nginx \
--with-ld-opt="-wl,-rpath,/usr/local/luajit/lib" \
--add-module=/opt/ngx_devel_kit-0.3.1rc1 \
--add-module=/opt/lua-nginx-module-0.10.14rc3
 
make -j2
make install
ln -s /nginx/sbin/nginx /usr/sbin/nginx

3.配置

3.1 nginx配置

http {
  server_tokens off;
  lua_package_path "/usr/local/lib/lua/?.lua;;";
  lua_shared_dict ip_blacklist 4m;
}
 
server {
  set $real_ip $remote_addr;
  if ( $http_x_forwarded_for ~ "^(\d+\.\d+\.\d+\.\d+)" ) {
    set $real_ip $1;
  }
 
  # 管理信息,訪問該url可以查看nginx中的ip黑名單信息
  location /get-ipblacklist-info {
    access_by_lua_file conf/lua/get_ipblacklist_info.lua;
  }
 
  # 同步url,通過定時任務(wù)調(diào)用該url,實現(xiàn)ip黑名單從mysql到nginx的定時刷新
  location /sync-ipblacklist {
   access_by_lua_file conf/lua/sync_ipblacklist.lua;
  }
 
  # 生產(chǎn)域名配置,所有需要ip黑名單控制的location,都要包含以下語句
  location / {
   access_by_lua_file conf/lua/check_realip.lua;
  }
 
}

nginx服務(wù)器配置以下crrontab

* * * * * /usr/bin/curl -o /dev/null -s http://127.0.0.1/sync-ipblacklist > /dev/null 2>&1

3.2 lua腳本

sync_ipblacklist.lua

local mysql_host = "ip of mysql server"
local mysql_port = 3306
local database = "dbname"
local username = "user"
local password = "password"
 
-- update ip_blacklist from mysql once every cache_ttl seconds
local cache_ttl  = 1
local mysql_connection_timeout = 1000
 
local client_ip  = ngx.var.real_ip
local ip_blacklist  = ngx.shared.ip_blacklist
local last_update_time = ip_blacklist:get("last_update_time");
 
if last_update_time == nil or last_update_time < ( ngx.now() - cache_ttl ) then
 
 local mysql = require "resty.mysql";
 local red = mysql:new();
 
 red:set_timeout(mysql_connect_timeout);
 
 local ok, err, errcode, sqlstate = red:connect{
     host = mysql_host,
     port = mysql_port,
     database = database,
     user = username,
     password = password,
     charset = "utf8",
     max_packet_size = 1024 * 1024,
    }
 if not ok then
 ngx.log(ngx.err, "mysql connection error while retrieving ip_blacklist: " .. err);
 else
 new_ip_blacklist, err, errcode, sqlstate = red:query("select ip_addr from ip_blacklist where status = 0 order by create_time desc limit 10000", 100)
 if not new_ip_blacklist then
  ngx.log(ngx.err, "bad result. errcode: " .. errcode .. " sqlstate: " .. sqlstate .. " err: " .. err);
  return
 end
 
 ip_blacklist:flush_all();
 for k1, v1 in pairs(new_ip_blacklist) do
  for k2, v2 in pairs(v1) do
  ip_blacklist:set(v2,true);
  end
 end
 
 ip_blacklist:set("last_update_time", ngx.now());
 end
end
 
ngx.say("sync successful");

get_ipblacklist_info.lua

-- 調(diào)用url查看黑名單信息
-- 1萬ip消耗不到1.5m ngx.shared內(nèi)存
-- 獲取所有key會堵塞別的正常請求對ngx.shared內(nèi)存的訪問,因此只能取少數(shù)key展示
require "resty.core.shdict"
ngx.say("total space: " .. ngx.shared.ip_blacklist:capacity() .. "
");
ngx.say("free space: " .. ngx.shared.ip_blacklist:free_space() .. "
");
ngx.say("last update time: " .. os.date("%y%m%d_%h:%m:%s",ngx.shared.ip_blacklist:get("last_update_time")) .. "
");
ngx.say("first 100 keys: 
");
ngx.say("--------------------------
");
ip_blacklist = ngx.shared.ip_blacklist:get_keys(100);
for key, value in pairs(ip_blacklist) do
 ngx.say(key .. ": " .. value .. "
");
end

check_realip.lua

if ngx.shared.ip_blacklist:get(ngx.var.real_ip) then
 return ngx.exit(ngx.http_forbidden);
end

3.3 數(shù)據(jù)庫設(shè)計

create table `ip_blacklist` (
 `id` int(11) not null auto_increment,
 `ip_addr` varchar(15) collate utf8mb4_bin default null,
 `status` int(11) default '0' comment '0: valid 有效, 1: invalid 失效',
 `effective_hour` decimal(11,2) default '24' comment '有效期,單位:小時',
 `ip_source` varchar(255) collate utf8mb4_bin default null comment '黑名單來源',
 `create_time` datetime default current_timestamp,
 `modify_time` datetime default current_timestamp on update current_timestamp,
 `remark` varchar(255) collate utf8mb4_bin default null comment '備注',
 primary key (`id`)
) engine=innodb default charset=utf8mb4 collate=utf8mb4_bin;
 
 
create procedure proc_ip_blacklist_status_update()
-- 將過期的ip狀態(tài)改為失效
begin 
 update ip_blacklist
 set status=1
 where date_add(create_time,interval effective_hour hour) < now();
 commit;
end;
 
 
create event job_ip_blacklist_status_update
on schedule every 1 minute
on completion preserve
enable
do
call proc_ip_blacklist_status_update();

4 crud

黑名單產(chǎn)生有手工的方式,也有自動的方式,或者兩者兼有。

自動的方式有通過python分析elk日志,將惡意ip自動寫入mysql,這是個大話題,這里不涉及。

手工的方式可以人肉查看elk請求日志,發(fā)現(xiàn)惡意ip,手工填入mysql,這里推薦一個開源的crud工具,用戶體驗很nice(比直接navicat好多了),當然也可以自己寫……

項目的強大之處在于,所有表都幫你生成菜單,然后這些表的crud就直接用了。

具體操作見官方說明,就不贅述了。

nginx ip黑名單動態(tài)封禁的方法

到此,關(guān)于“nginx ip黑名單動態(tài)封禁的方法”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識,請繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站,小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>
本文名稱:nginxip黑名單動態(tài)封禁的方法
URL分享:http://weahome.cn/article/ppicei.html

其他資訊

在線咨詢

微信咨詢

電話咨詢

028-86922220(工作日)

18980820575(7×24)

提交需求

返回頂部