Nginx动态IP访问限制有三类方案:一是allow/deny+外部文件reload实现准动态管理;二是geo模块映射变量配合if判断;三是Lua+Redis实现全自动实时封禁,需注意匹配顺序、变量限制、Redis容错及真实IP识别。

Nginx 实施基于动态 IP 管理的访问限制,核心在于“规则可变、响应实时、无需重启”。它不是简单写死 deny 192.168.1.100,而是让封禁/放行行为能随请求特征(如频率、来源、行为模式)自动触发,并支持快速更新黑白名单。主流方案分三类:静态指令控制、变量+条件判断、Lua+外部存储协同,适用不同复杂度需求。
用 allow/deny 指令做基础动态管理
虽然 allow/deny 本身是静态配置,但通过外部文件引入 + reload 机制,可实现“准动态”管理:
- 把所有要封禁的 IP 写进独立文件,比如 /etc/nginx/conf.d/blacklist.conf,内容为:
deny 203.0.113.45;<br>deny 198.51.100.12;<br>deny 2001:db8::1;
- 在 server 或 location 块中引用:
include /etc/nginx/conf.d/blacklist.conf; - 新增或删除 IP 后,只需运行
nginx -t && nginx -s reload,几秒内生效,不中断服务 - 适合每天手动维护几十条规则的场景,运维成本低、兼容性好
用 geo 模块实现变量级动态开关
geo 模块可将 IP 映射为自定义变量值,再配合 if 判断返回状态,避免硬编码 deny,逻辑更清晰:
- 在 http 块顶部定义:
geo $ip_blocked {<br> default 0;<br> 192.168.5.200 1;<br> 10.10.0.0/16 1;<br>} - 在 location 中使用:
if ($ip_blocked) { return 403; } - 支持 include 外部 IP 列表文件,例如:
geo $ip_blocked {<br> default 0;<br> include /etc/nginx/ip_blacklist.map;<br>} - 修改 map 文件后 reload 即可,比直接改 deny 更易读、易批量生成
用 Lua 脚本对接 Redis 实现全自动动态封禁
这是真正意义上的动态管理——IP 是否被封,由运行时行为决定,无需人工干预:
- 需启用 OpenResty 或安装 ngx_http_lua_module
- 在 location 中调用 Lua 脚本:
access_by_lua_file /usr/local/lua/access_limit.lua; - 脚本内连接 Redis,按 IP 统计 1 秒内请求数;超阈值(如 3 次)则写入黑名单,设置过期时间(如 120 秒)
- 后续请求先查 Redis 黑名单,命中即 return 403,未命中再走正常流程
- 支持自定义策略:同一 IP 频繁 404、UA 含扫描器特征、POST 接口异常高频等均可触发封禁
注意事项与避坑点
动态管理不是万能的,实际部署要注意:
- allow/deny 和 geo 的匹配顺序很重要:规则从上到下执行,deny all 必须放在最后,否则前面的 allow 无效
- geo 变量不能在 if 中赋值,只能用于判断;且不支持正则匹配,IP 段需用 CIDR 格式写死
- Lua 方案依赖 Redis 可用性,建议配置连接池和超时重试,避免 Redis 故障导致整个请求阻塞
- 所有 reload 操作前务必执行
nginx -t,语法错误会导致服务中断 - 真实客户端 IP 可能被代理隐藏,记得在 upstream 或 real_ip 模块中正确设置
set_real_ip_from,否则封错 IP
文章来自机圈观察员网,发布者:,转载请注明出处:https://www.jqgcy.com/xinjizixun/125633.html