安装 Openrestry 并使用 lua-redis 实现封禁ip高频访问，

安装 Openrestry 并使用 lua-redis 实现封禁ip高频访问，

一 、安装 Openrestry

# 1.下载源码包
wget https://openresty.org/download/openresty-1.11.2.2.tar.gz
tar -xzvf openresty-1.11.2.2.tar.gz
cd openresty-1.11.2.2

# 2.查看 nginx 编译选项：
$ nginx -V
nginx version: nginx/1.10.3
... （省略） ...
# 3. 编译安装 
./configure   --prefix=/usr/local/openresty --with-luajit --without-http_redis2_module --with-http_stub_status_module --with-http_v2_module --with-http_gzip_static_module --with-http_sub_module --with-openssl=/usr/local/src/openssl-1.0.2m

make
make install

二 、 配置 openrestry

# 复制原来的 `nginx` 配置
#openresty-nginx 路径是： /usr/local/openresty/nginx
#将原来的nginx 配置都复制到 /usr/local/openresty/nginx/conf

cp /usr/local/nginx/conf/*.conf /usr/local/openresty/nginx/conf/
## vhost 目录  ssl 目录
cp -r /usr/local/nginx/conf/conf.d /usr/local/openresty/nginx/conf

还要根据服务器实际情况，修改 nginx.conf 等配置文件中替换路径为新的路径

三、 修改环境变量

注意：openresty 在支持http2的时候 响应头header server会修改成nginx

# 验证版本
root@iZm5eabkgmsfy2phj5pr1xZ:~$ nginx -V
nginx version: openresty/1.11.2.2
built by gcc 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04.3)
built with OpenSSL 1.0.2m  2 Nov 2017
TLS SNI support enabled
configure arguments: --prefix=/usr/local/openresty/nginx --with-cc-opt=-O2 —add-（省略）

四、 使用 lua-redis 实现封禁ip高频访问

1. 查看 access.log 高访问前5条数据

awk '{print $1}' access.log | sort|uniq -c | sort -nr | head -n 5

8 180.169.120.218
1 40.77.167.22
1 207.46.13.192
...

2. 修改 nginx 配置 ，nginx.conf 或者 虚拟主机host 中，添加对 lua 脚本的支持

# 以我自己服务器为例，我的www.leon0204.com 的配置文件在 
$ cd  /usr/local/openresty/nginx/conf/conf.d/  && vim  leon0204.conf

# 添加 openrestry 引入lua脚本要用的地址
lua_package_path "/usr/local/openresty/lualib/resty/redis.lua;";#告诉openresty库地址
#lua_package_cpath "/usr/local/openresty/lualib/?.so;;";
error_log /usr/local/openresty/nginx/logs/openresty.debug.log debug;

# 所有 xxx/hello 的请求会被分发给lua 脚本处理
location /hello {
        default_type text/html;
        access_by_lua_file "/usr/local/openresty/nginx/lua/access_by_redis.lua";

 }

3. lua 的基于访问频率的reids 实现自动化可控封禁脚本

# Lua
local function close_redis(red)
    if not red then
        return
    end
    --释放连接(连接池实现)
    local pool_max_idle_time = 10000 --毫秒
    local pool_size = 100 --连接池大小
    local ok, err = red:set_keepalive(pool_max_idle_time, pool_size)

    if not ok then
        ngx_log(ngx_ERR, "set redis keepalive error : ", err)
    end
end

-- 连接redis
local redis = require('resty.redis')
local red = redis.new()
red:set_timeout(1000)

local ip = "127.0.0.1"  ---修改变量
local port = "6379" ---修改变量
local ok, err = red:connect(ip,port)
if not ok then
    return close_redis(red)
end
red:auth('passwd')
--resp = redis_init:set('funet', '888888')
--resp = redis_init:get('funet')




local clientIP = ngx.req.get_headers()["X-Real-IP"]
if clientIP == nil then
   clientIP = ngx.req.get_headers()["x_forwarded_for"]
end
if clientIP == nil then
   clientIP = ngx.var.remote_addr
end

--ngx.say(clientIP)

--if clientIP == "101.231.137.70" then
--    ngx.exit(ngx.HTTP_FORBIDDEN)
--       return close_redis(red)
--    end

local incrKey = "user:"..clientIP..":freq"
local blockKey = "user:"..clientIP..":block"

local is_block,err = red:get(blockKey) -- check if ip is blocked
--ngx.say(tonumber(is_block))
if tonumber(is_block) == 1 then
    --ngx.say(3)
    ngx.exit(403)
    --ngx.exit(ngx.HTTP_FORBIDDEN)
    close_redis(red)
end

inc  = red:incr(incrKey)


ngx.say(inc)

if inc < 2 then
   inc = red:expire(incrKey,1)
end

if inc > 2 then --每秒2次以上访问即视为非法，会阻止1分钟的访问
    red:set(blockKey,1) --设置block 为 True 为1
    red:expire(blockKey,60)
end

close_redis(red)

最终效果：