Nginx实现动态封禁IP的步骤

在日常的生产环境中，网站可能会遭遇恶意请求、DDoS 攻击或其他有害的访问行为。为了应对这些情况，动态封禁 IP 是一项十分重要的安全策略。本篇博客将介绍如何通过 NGINX 实现动态封禁 IP，从配置到自动化的实现步骤。

2、实现方式

NGINX 本身支持简单的基于 IP 的访问控制（如 deny 和 allow 指令），但要实现动态封禁，通常结合以下几种方案：

• fail2ban：一个常用的自动封禁工具，通过监控日志发现恶意行为并自动修改 NGINX 配置文件。
• nginx 动态模块：如 ngx_http_limit_req_module 和 ngx_http_limit_conn_module，用于限制请求频率和并发数，结合脚本实现 IP 封禁。
• 基于 Redis 或数据库的方案：可以通过 Lua 脚本或第三方模块，从 Redis 或 MySQL 等存储中动态加载封禁的 IP 列表。

3、使用 fail2ban 动态封禁

fail2ban 是一种常见的动态封禁工具，通过监控日志文件中的恶意行为自动更新 NGINX 配置。下面是通过 fail2ban 实现动态封禁的步骤。

3.1 安装 fail2ban

1 2	sudo apt-get update sudo apt-get install fail2ban

3.2 配置 NGINX 日志

确保 NGINX 配置中的日志能记录恶意请求。以下是一个简单的日志配置：

1 2 3 4 5 6

http {     log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                       '$status $body_bytes_sent "$http_referer" '                       '"$http_user_agent" "$http_x_forwarded_for"';     access_log  /var/log/nginx/access.log  main; }

3.3 配置 fail2ban 规则

创建 NGINX 的过滤规则，编辑 /etc/fail2ban/filter.d/nginx-http-auth.conf，加入以下规则来匹配日志中的恶意行为：

1 2 3

[Definition] failregex = ^<HOST> -.*"(GET|POST).*HTTP/.*".* 403 ignoreregex =

3.4 设置 fail2ban 的 jail 配置

在 /etc/fail2ban/jail.local 文件中，增加对 NGINX 的监控配置：

1 2 3 4 5 6

[nginx-http-auth] enabled  = true port     = http,https filter   = nginx-http-auth logpath  = /var/log/nginx/access.log maxretry = 5

• logpath：指向 NGINX 的日志文件。
• maxretry：设置多少次失败后封禁 IP。

3.5 启动 fail2ban

1	sudo service fail2ban restart

这样，当某个 IP 连续访问 5 次 403 页面时，它将被自动封禁。

4、使用 NGINX 的 limit 模块动态限制

NGINX 自带的 ngx_http_limit_req_module 和 ngx_http_limit_conn_module 可以用于动态限制请求。通过设置请求频率和并发连接数，可以有效抵御恶意爬虫和 DDoS 攻击。

4.1 配置请求频率限制

在 NGINX 配置中加入以下代码来限制每个 IP 的请求频率：

1 2 3 4 5 6 7 8 9

http {     limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;       server {         location / {             limit_req zone=one burst=5;         }     } }

• limit_req_zone：定义一个共享内存区域，用于记录请求速率。
• rate=1r/s：每个 IP 限制为每秒最多 1 次请求。

4.2 动态调整限制

要用 Redis 和 Lua 实现动态封禁恶意 IP 的功能，可以借助 Redis 的计数和过期特性。在 Redis 中，可以用 Lua 脚本来动态检测某个 IP 的请求频率，一旦超过设定的阈值，就对该 IP 进行封禁。

以下是一个 Lua 脚本的样例，用于封禁恶意 IP。假设我们会在 Redis 中记录每个 IP 的请求次数，并在达到限制后进行封禁。以下 Lua 脚本实现了上述逻辑，设定了一个限制：IP 在 60 秒内请求 10 次以上会触发封禁，封禁持续 3600 秒（1 小时）：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33

-- Lua 脚本实现动态封禁恶意IP local ip = KEYS[1]                -- 传入的 IP 地址 local max_requests = tonumber(ARGV[1]) -- 最大请求次数 local ban_time = tonumber(ARGV[2])     -- 封禁持续时间 local expire_time = tonumber(ARGV[3])  -- IP 计数的过期时间   -- 构建 Redis 键 local ip_key = "ip:" .. ip local ban_key = "ban:" .. ip   -- 检查 IP 是否已封禁 if redis.call("EXISTS", ban_key) == 1 then     return {false, "IP 已封禁"} end   -- 增加 IP 请求计数 local count = redis.call("INCR", ip_key)   -- 如果是首次请求，设置请求计数的过期时间 if count == 1 then     redis.call("EXPIRE", ip_key, expire_time) end   -- 检查请求次数是否超过最大请求限制 if count > max_requests then     -- 达到限制，封禁 IP 并设置封禁时间     redis.call("SET", ban_key, "1")     redis.call("EXPIRE", ban_key, ban_time)     return {false, "已达请求限制，IP 已封禁"} end   -- 如果请求未超限，返回当前请求计数 return {true, count}

要在 Redis 中执行这个 Lua 脚本，你可以通过 Redis 客户端执行 EVAL 命令。假设 IP 地址是 192.168.0.1，请求限制为 10 次，封禁时间为 3600 秒，计数过期时间为 60 秒：

1	EVAL "<LUA_SCRIPT>" 2 192.168.0.1 10 3600 60

5、总结

通过以上方法，可以实现 NGINX 下的动态封禁 IP，从而有效保护网站免受恶意攻击。在实际应用中，可以根据需求选择 fail2ban 或 NGINX 自带的模块，甚至结合数据库方案实现更复杂的动态封禁机制。

这篇博客为初学者提供了 NGINX 实现动态封禁 IP 的思路和具体配置示例。你可以根据业务场景灵活调整参数，提升系统安全性。