Beispiel für eine dynamische Sperre der IP-Blacklist von Nginx

cd LuaJIT-2.0.5
machen
make install PREFIX=/usr/local/luajit

exportiere LUAJIT_LIB=/usr/local/luajit/lib
exportiere LUAJIT_INC=/usr/local/luajit/include/luajit-2.1
 
./configure --prefix=/nginx \
--with-ld-opt="-Wl,-rpath,/usr/local/luajit/lib" \
--add-module=/opt/ngx_devel_kit-0.3.1rc1 \
--add-module=/opt/lua-nginx-module-0.10.14rc3
 
mache -j2
installieren
ln -s /nginx/sbin/nginx /usr/sbin/nginx

http {
  Server-Tokens aus;
  lua_package_path "/usr/local/lib/lua/?.lua;;";
  lua_shared_dict ip_schwarze Liste 4m;
}
 
Server {
  setze $real_ip $remote_addr;
  wenn ( $http_x_forwarded_for ~ "^(\d+\.\d+\.\d+\.\d+)" ) {
    setze $real_ip $1;
  }
 
  # Verwaltungsinformationen. Besuchen Sie diese URL, um die IP-Blacklist-Informationen am Nginx-Speicherort /get-ipblacklist-info { anzuzeigen.
    Zugriff über Lua-Datei conf/lua/get_ipblacklist_info.lua;
  }
 
  # URL synchronisieren, URL über die geplante Aufgabe aufrufen und geplante Aktualisierung der IP-Blacklist von MySQL zum Nginx-Speicherort /sync-ipblacklist { implementieren.
   Zugriff über Lua-Datei conf/lua/sync_ipblacklist.lua;
  }
 
  # Produktionsdomänennamenkonfiguration, alle Standorte, die eine IP-Blacklist-Kontrolle benötigen, müssen die folgende Anweisung enthalten: Standort / {
   Zugriff über Lua-Datei conf/lua/check_realip.lua;
  }
 
}

* * * * * /usr/bin/curl -o /dev/null -s http://127.0.0.1/sync-ipblacklist > /dev/null 2>&1

lokaler mysql_host = "IP des MySQL-Servers"
lokaler MySQL-Port = 3306
lokale Datenbank = "Datenbankname"
lokaler Benutzername = "Benutzer"
lokales Passwort = "Passwort"
 
--update ip_blacklist von mysql einmal alle cache_ttl Sekunden
lokaler cache_ttl = 1
lokales mysql_connection_timeout = 1000
 
lokale Client-IP = ngx.var.real_ip
lokale ip_blacklist = ngx.shared.ip_blacklist
lokale letzte_Aktualisierungszeit = ip_blacklist:get("letzte_Aktualisierungszeit");
 
wenn last_update_time == nil oder last_update_time < (ngx.now() - cache_ttl), dann
 
 lokales MySQL = erfordert „resty.mysql“;
 lokales Rot = mysql:neu();
 
 rot: set_timeout(mysql_connect_timeout);
 
 lokales OK, Fehler, Fehlercode, SQLState = rot:Verbinden{
     Host = MySQL-Host,
     Port = MySQL-Port,
     Datenbank = Datenbank,
     Benutzer = Benutzername,
     Passwort = Passwort,
     Zeichensatz = "utf8",
     max_paket_größe = 1024 * 1024,
    }
 wenn nicht ok dann
 ngx.log(ngx.ERR, "MySQL-Verbindungsfehler beim Abrufen der IP-Blacklist: " .. err);
 anders
 new_ip_blacklist, err, errcode, sqlstate = red:query("Wählen Sie IP-Adresse aus IP-Blacklist, wobei Status = 0 ist, sortiert nach Erstellungszeit, Beschreibungslimit 10000", 100)
 wenn nicht new_ip_blacklist dann
  ngx.log(ngx.ERR, "schlechtes Ergebnis. Fehlercode: " .. Fehlercode .. " sqlstate: " .. sqlstate .. " err: " .. err);
  zurückkehren
 Ende
 
 ip_blacklist:flush_all();
 für k1, v1 in Paaren (new_ip_blacklist) machen
  für k2, v2 in Paaren (v1) machen
  ip_blacklist:setzen(v2,true);
  Ende
 Ende
 
 ip_blacklist:set("letzte_Aktualisierungszeit", ngx.now());
 Ende
Ende
 
ngx.say("Synchronisierung erfolgreich");

-- Rufen Sie die URL auf, um Informationen zur Blacklist anzuzeigen -- 10.000 IPs verbrauchen weniger als 1,5 MB ngx.shared-Speicher -- Das Abrufen aller Schlüssel blockiert den Zugriff anderer normaler Anfragen auf den ngx.shared-Speicher, sodass nur wenige Schlüssel angezeigt werden können, die „resty.core.shdict“ erfordern
ngx.say("Gesamtspeicherplatz: " .. ngx.shared.ip_blacklist:capacity() .. "<br/>");
ngx.say("freier Speicherplatz: " .. ngx.shared.ip_blacklist:free_space() .. "<br/>");
ngx.say("letzte Aktualisierungszeit: " .. os.date("%Y%m%d_%H:%M:%S",ngx.shared.ip_blacklist:get("last_update_time")) .. "<br/>");
ngx.say("erste 100 Schlüssel: <br/>");
ngx.say("--------------------------<br/>");
ip_blacklist = ngx.shared.ip_blacklist:get_keys(100);
für Schlüssel, Wert in Paaren (ip_blacklist)
 ngx.say(Schlüssel .. ": " .. Wert .. "<br/>");
Ende

wenn ngx.shared.ip_blacklist:get(ngx.var.real_ip) dann
 gibt ngx.exit(ngx.HTTP_FORBIDDEN) zurück;
Ende

Tabelle „ip_blacklist“ erstellen (
 `id` int(11) NICHT NULL AUTO_INCREMENT,
 `ip_addr` varchar(15) COLLATE utf8mb4_bin DEFAULT NULL,
 `status` int(11) DEFAULT '0' COMMENT '0: gültig, 1: ungültig',
 `effective_hour` decimal(11,2) DEFAULT '24' COMMENT 'Gültigkeitsdauer, Einheit: Stunden',
 `ip_source` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT 'Blacklist-Quelle',
 `create_time` Datum/Uhrzeit STANDARD CURRENT_TIMESTAMP,
 `modify_time` Datum/Uhrzeit STANDARD CURRENT_TIMESTAMP BEI UPDATE CURRENT_TIMESTAMP,
 `remark` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT 'Bemerkungen',
 PRIMÄRSCHLÜSSEL (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin;
 
 
PROZEDUR ERSTELLEN proc_ip_blacklist_status_update()
-- Ändern Sie den abgelaufenen IP-Status in ungültig beginnen 
 Aktualisieren Sie die IP-Blacklist
 setze Status=1
 wobei date_add(Erstellungszeit,INTERVAL effektive_Stunde Stunde) < jetzt();
 begehen;
Ende;
 
 
EREIGNIS ERSTELLEN job_ip_blacklist_status_update
PER ZEITPLAN JEDE MINUTE
BEI FERTIGSTELLUNG BEWAHREN
AKTIVIEREN
TUN
rufen Sie proc_ip_blacklist_status_update() auf;