最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
Nginx 动态防火墙:利用lua-resty-core与Redis实现黑名单IP毫秒级动态下发
时间:2026-06-23 09:22:47 编辑:袖梨 来源:一聚教程网
Nginx动态防火墙必须基于OpenResty,通过lua_shared_dict内存缓存+定时同步Redis SET实现微秒级拦截;禁用每次请求直连Redis,须正确配置init_worker_by_lua_file、auth顺序及连接超时。
Nginx 动态防火墙的核心不是“加个 Lua 就能封 IP”,而是让每次请求在毫秒内完成判断、不回源、不 reload、不依赖后端。真正落地的关键不在语法,而在架构选型和执行路径设计。
必须用 OpenResty,不是 Nginx + lua-module
原生 Nginx 编译 Lua 模块后仍缺失 lua_shared_dict、init_worker_by_lua_file、ngx.shared.DICT 等运行时能力,配置中一旦出现 unknown directive "lua_shared_dict" 或 attempt to index global 'resty',说明环境已失效。OpenResty 是唯一预编译集成全部依赖的发行版:
- CentOS 直接
yum install openresty - Ubuntu 用
apt install openresty,版本不低于 1.25.3.1 - 验证命令:
openresty -v输出含 “OpenResty” 字样,且openresty -t通过
共享字典 + 定时同步,避免每次查 Redis
把 Redis 当主库,Nginx worker 内存当缓存层。高频拦截若每次请求都连 Redis,延迟直接升至毫秒级,失去意义。正确做法是:
- 在
http块顶层声明lua_shared_dict ip_blacklist 50m(IPv4 百万级 IP 约占 20MB,留余量) - 用
init_worker_by_lua_file /path/to/load_blacklist.lua(不是init_by_lua_block),为每个 worker 启动独立定时器 - 脚本每 30–60 秒执行一次:
redis:smembers("ip_blacklist")→ngx.shared.ip_blacklist:flush_all()→ 逐条set(ip, true) - Redis 数据结构必须是 SET(如 key=
ip_blacklist),不能用 STRING 或 HASH,否则smembers返回空
access 阶段只查内存,不连 Redis
实际拦截逻辑极简:
local ip = ngx.var.remote_addrlocal blacklist = ngx.shared.ip_blacklistif blacklist:get(ip) then return ngx.exit(403)end
全程无网络 IO,耗时稳定在微秒级。若误写成 access_by_lua_file 中直连 Redis 查询,等于把每次 HTTP 请求拖进网络往返,彻底违背“毫秒级”初衷。
封禁操作走标准 Redis pipeline
运维或自动化系统封 IP 时,不要用 SET blacklist:192.168.1.100 1 EX 300 这类单 key 方式(难批量管理、无法统一 TTL)。应统一存入 SET:
redis-cli SADD ip_blacklist 192.168.1.100redis-cli EXPIRE ip_blacklist 300 # 整个 set 设 TTL(需 Redis ≥ 7.0) # 或兼容老版本:用单独 key 存过期时间,由定时脚本控制刷新
解封同理:SREM ip_blacklist 192.168.1.100
Redis 连接必须带密码与超时控制
若 Redis 配了密码,auth() 必须在 connect() 之后、smembers() 之前调用:
local ok, err = red:connect("127.0.0.1", 6379)if not ok then ... endok, err = red:auth("your_password") -- 顺序错则认证失败if not ok then ... endlocal ips, err = red:smembers("ip_blacklist")
连接超时设为 300–500ms,避免 Redis 偶发卡顿拖垮整个 Nginx worker。
不复杂但容易忽略
相关文章
- 明日方舟:终末地开荒流程攻略 新手怎么开荒详细攻略 07-01
- 重返未来1999焦点闪回怎么打详情 07-01
- 洛克王国世界星光对决恩佐打法详情 07-01
- 如何用Java实现邮件发送 07-01
- 光遇5月红石日历2026一览 07-01
- 重返未来1999主线16关迷宫走法详情 07-01