基于openresty的ip白名单控制

目的很简单,因为基于nginx的 ngx_http_access_module ip 模块有点太弱了,不灵活,可以直接使用openresty
在access_by_lua 阶段处理

预备

我们需要支持cidr格式的ip,所以需要一个灵活的ip解析处理包,
hamishforbes/lua-resty-iputils是一个不错的选择,对于openresty推荐使用opm安装

nginx 配置

  • init 阶段处理数据cache
 
init_by_lua_file /opt/ip.lua;

ip.lua

local iputils = require("resty.iputils")
iputils.enable_lrucache()
local whitelist_ips = {
    "ip",
    "cidrformat"
}
whitelist = iputils.parse_cidrs(whitelist_ips)
  • 请求控制
    基于openresty 的 access_by_lua,可以放http, server, location, location if 这几个scope 中
access_by_lua_file /opt/acc.lua;

acc.lua
为了防止误伤,进行了实际ip的过滤处理

 
local headers=ngx.req.get_headers()
local iputils = require("resty.iputils")
local ip=headers["X-REAL-IP"] or headers["X_FORWARDED_FOR"] or ngx.var.remote_addr 
if not iputils.ip_in_cidrs(ip, whitelist) then
   return ngx.exit(ngx.HTTP_FORBIDDEN)
end

说明

以上是一个简单的使用说明,实际中对于ip白名单,我们可以基于redis,或者类似的cache进行处理,实现动态的控制,实际上社区已经
有了类似的实现

参考资料

https://nginx.org/en/docs/http/ngx_http_access_module.html
https://github.com/hamishforbes/lua-resty-iputils
https://github.com/openresty/lua-nginx-module#access_by_lua_file

posted on 2020-10-19 20:41  荣锋亮  阅读(2040)  评论(0编辑  收藏  举报

导航