Nginx 动态防火墙:利用lua-resty-core与Redis实现黑名单IP毫秒级动态下发

作者:袖梨 2026-06-23
Nginx动态防火墙必须基于OpenResty,通过lua_shared_dict内存缓存+定时同步Redis SET实现微秒级拦截;禁用每次请求直连Redis,须正确配置init_worker_by_lua_file、auth顺序及连接超时。

Nginx 动态防火墙的核心不是“加个 Lua 就能封 IP”,而是让每次请求在毫秒内完成判断、不回源、不 reload、不依赖后端。真正落地的关键不在语法,而在架构选型和执行路径设计。

必须用 OpenResty,不是 Nginx + lua-module
原生 Nginx 编译 Lua 模块后仍缺失 lua_shared_dictinit_worker_by_lua_filengx.shared.DICT 等运行时能力,配置中一旦出现 unknown directive "lua_shared_dict"attempt to index global 'resty',说明环境已失效。OpenResty 是唯一预编译集成全部依赖的发行版:

  • CentOS 直接 yum install openresty
  • Ubuntu 用 apt install openresty,版本不低于 1.25.3.1
  • 验证命令:openresty -v 输出含 “OpenResty” 字样,且 openresty -t 通过

共享字典 + 定时同步,避免每次查 Redis
把 Redis 当主库,Nginx worker 内存当缓存层。高频拦截若每次请求都连 Redis,延迟直接升至毫秒级,失去意义。正确做法是:

  • http 块顶层声明 lua_shared_dict ip_blacklist 50m(IPv4 百万级 IP 约占 20MB,留余量)
  • init_worker_by_lua_file /path/to/load_blacklist.lua(不是 init_by_lua_block),为每个 worker 启动独立定时器
  • 脚本每 30–60 秒执行一次:redis:smembers("ip_blacklist")ngx.shared.ip_blacklist:flush_all() → 逐条 set(ip, true)
  • Redis 数据结构必须是 SET(如 key=ip_blacklist),不能用 STRING 或 HASH,否则 smembers 返回空

access 阶段只查内存,不连 Redis
实际拦截逻辑极简:

local ip = ngx.var.remote_addrlocal blacklist = ngx.shared.ip_blacklistif blacklist:get(ip) then    return ngx.exit(403)end

全程无网络 IO,耗时稳定在微秒级。若误写成 access_by_lua_file 中直连 Redis 查询,等于把每次 HTTP 请求拖进网络往返,彻底违背“毫秒级”初衷。

封禁操作走标准 Redis pipeline
运维或自动化系统封 IP 时,不要用 SET blacklist:192.168.1.100 1 EX 300 这类单 key 方式(难批量管理、无法统一 TTL)。应统一存入 SET:

redis-cli SADD ip_blacklist 192.168.1.100redis-cli EXPIRE ip_blacklist 300  # 整个 set 设 TTL(需 Redis ≥ 7.0)  # 或兼容老版本:用单独 key 存过期时间,由定时脚本控制刷新

解封同理:SREM ip_blacklist 192.168.1.100

Redis 连接必须带密码与超时控制
若 Redis 配了密码,auth() 必须在 connect() 之后、smembers() 之前调用:

local ok, err = red:connect("127.0.0.1", 6379)if not ok then ... endok, err = red:auth("your_password")  -- 顺序错则认证失败if not ok then ... endlocal ips, err = red:smembers("ip_blacklist")

连接超时设为 300–500ms,避免 Redis 偶发卡顿拖垮整个 Nginx worker。

不复杂但容易忽略

相关文章

精彩推荐