一、背景

我們在日常維護網站中，經常會遇到這樣一個需求，為了封禁某些爬蟲或者惡意使用者對伺服器的請求，我們需要建立一個動態的 IP 黑名單。對於黑名單之內的 IP ，拒絕提供服務。

本文給大家介紹的是Nginx利用Lua+Redis實現動態封禁IP的方法，下面話不多說了，來一起看看詳細的介紹吧

二、架構

實現 IP 黑名單的功能有很多途徑：

1、在作業系統層面，配置 iptables，拒絕指定 IP 的網路請求；

2、在 Web Server 層面，通過 Nginx 自身的 deny 選項 或者 lua 外掛 配置 IP 黑名單；

3、在應用層面，在請求服務之前檢查一遍客戶端 IP 是否在黑名單。

為了方便管理和共享，我們通過 Nginx+Lua+Redis 的架構實現 IP 黑名單的功能，架構圖如下：

架構圖

三、實現

1、安裝 Nginx+Lua模組，推薦使用 OpenResty，這是一個集成了各種 Lua 模組的 Nginx 伺服器：

OpenResty

2、安裝並啟動 Redis 伺服器；

3、配置 Nginx 示例：

Nginx 配置

其中

lua_shared_dict ip_blacklist 1m;

由 Nginx 程序分配一塊 1M 大小的共享記憶體空間，用來快取 IP 黑名單，參見：

https://github.com/openresty/lua-nginx-module#lua_shared_dict

access_by_lua_file lua/ip_blacklist.lua;

指定 lua 指令碼位置

4、配置 lua 指令碼，定期從 Redis 獲取最新的 IP 黑名單，檔案內容參見：

https://gist.github.com/Ceelog/39862d297d9c85e743b3b5111b7d44cb

lua 指令碼內容

5、在 Redis 伺服器上新建 Set 型別的資料 ip_blacklist，並加入最新的 IP 黑名單。

完成以上步驟後，重新載入 nginx，配置便開始生效了

這時訪問伺服器，如果你的 IP 地址在黑名單內的話，將出現拒絕訪問：

拒絕訪問

四、總結

以上，便是 Nginx+Lua+Redis 實現的 IP 黑名單功能，具有如下優點：

1、配置簡單、輕量，幾乎對伺服器效能不產生影響；

2、多臺伺服器可以通過Redis例項共享黑名單；

3、動態配置，可以手工或者通過某種自動化的方式設定 Redis 中的黑名單。

好了，以上就是這篇文章的全部內容了，希望本文的內容對大家的學習或者工作具有一定的參考學習價值，如果有疑問大家可以留言交流，謝謝大家對我們的支援。