鍍金池/ 教程/ Java/ 禁止某些終端訪問
定時(shí)任務(wù)
函數(shù)的參數(shù)
超時(shí)
一個(gè) openresty 內(nèi)存“泄漏”問題
獲取 uri 參數(shù)
局部變量
sleep
灰度發(fā)布
TIME_WAIT
代碼覆蓋率
連接池
CentOS 平臺(tái)安裝
稀疏數(shù)組
如何只啟動(dòng)一個(gè) timer 工作?
變量的共享范圍
break,return 關(guān)鍵字
Nginx
SQL 注入
如何引用第三方 resty 庫(kù)
不同階段共享變量
獲取請(qǐng)求 body
動(dòng)態(tài)生成的 lua-resty-redis 模塊方法
動(dòng)態(tài)加載證書和 OCSP stapling
repeat 控制結(jié)構(gòu)
編碼為 array 還是 object
Nginx 靜態(tài)文件服務(wù)
執(zhí)行階段概念
Lua 函數(shù)
日期時(shí)間函數(shù)
健康監(jiān)測(cè)
與其他 location 配合
for 控制結(jié)構(gòu)
函數(shù)定義
HTTPS 時(shí)代
點(diǎn)號(hào)與冒號(hào)操作符的區(qū)別
String 庫(kù)
文件操作
OpenResty 最佳實(shí)踐
<code>ngx.shared.DICT</code> 非隊(duì)列性質(zhì)
使用動(dòng)態(tài) DNS 來完成 HTTP 請(qǐng)求
代碼規(guī)范
什么是 JIT?
Windows 平臺(tái)安裝
正確的記錄日志
LuaNginxModule
不用標(biāo)準(zhǔn)庫(kù)
C10K 編程
控制結(jié)構(gòu)
請(qǐng)求中斷后的處理
Lua 環(huán)境搭建
Test::Nginx 能指定現(xiàn)成的 nginx.conf,而不是自動(dòng)生成一個(gè)嗎
Lua 基礎(chǔ)數(shù)據(jù)類型
動(dòng)態(tài)限速
PostgresNginxModule
簡(jiǎn)單API Server框架
API 測(cè)試
location 匹配規(guī)則
虛變量
單元測(cè)試
防止 SQL 注入
select + set_keepalive 組合操作引起的數(shù)據(jù)讀寫錯(cuò)誤
阻塞操作
全動(dòng)態(tài)函數(shù)調(diào)用
Web 服務(wù)
典型應(yīng)用場(chǎng)景
Nginx 新手起步
TLS session resumption
輸出響應(yīng)體
調(diào)用代碼前先定義函數(shù)
module 是邪惡的
怎樣理解 cosocket
模塊
Socket 編程發(fā)展
如何對(duì) Nginx Lua module 添加新 api
如何在后臺(tái)開啟輕量級(jí)線程完成定時(shí)任務(wù)?
如何定位問題
table 庫(kù)
json 解析的異常捕獲
如何安裝火焰圖生成工具
lua 中如何 continue
if 是邪惡的
為什么我們的域名不能被解析
抵制使用 module() 定義模塊
測(cè)試
body 在 location 中的傳遞
Lua 入門
子查詢
pipeline 壓縮請(qǐng)求數(shù)量
如何發(fā)起新 HTTP 請(qǐng)求
Lua 簡(jiǎn)介
緩存失效風(fēng)暴
Ubuntu 平臺(tái)安裝
日志輸出
緩存
Lua 面向?qū)ο缶幊?/span>
Nginx 陷阱和常見錯(cuò)誤
Redis 接口的二次封裝(發(fā)布訂閱)
日志
訪問有授權(quán)驗(yàn)證的 Redis
正則表達(dá)式
lock
熱裝載代碼
調(diào)用 FFI 出現(xiàn) &quot;table overflow&quot;
數(shù)據(jù)合法性檢測(cè)
禁止某些終端訪問
控制結(jié)構(gòu) if-else
調(diào)試
與 Docker 使用的網(wǎng)絡(luò)瓶頸
PostgresNginxModule 模塊的調(diào)用方式
用 do-end 整理你的代碼
FFI
什么時(shí)候使用
簡(jiǎn)介
環(huán)境搭建
Mac OS X 平臺(tái)安裝
火焰圖
負(fù)載均衡
while 型控制結(jié)構(gòu)
如何定位 openresty 崩潰 bug
使用 Nginx 內(nèi)置綁定變量
判斷數(shù)組大小
請(qǐng)求返回后繼續(xù)執(zhí)行
Redis 接口的二次封裝
KeepAlive
反向代理
協(xié)議無痛升級(jí)
數(shù)學(xué)庫(kù)
元表
Vanilla 介紹
HelloWorld
LuaCjsonLibrary
持續(xù)集成
代碼靜態(tài)分析
網(wǎng)上有大量對(duì) Lua 調(diào)優(yōu)的推薦,我們應(yīng)該如何看待?
script 壓縮復(fù)雜請(qǐng)求
非空判斷
性能測(cè)試
函數(shù)返回值
API 的設(shè)計(jì)
kong 介紹
表達(dá)式
不支持事務(wù)
LuaRestyDNSLibrary 簡(jiǎn)介

禁止某些終端訪問

不同的業(yè)務(wù)應(yīng)用場(chǎng)景,會(huì)有完全不同的非法終端控制策略,常見的限制策略有終端 IP 、訪問域名端口,這些可以通過防火墻等很多成熟手段完成。可也有一些特定限制策略,例如特定 cookie、url、location,甚至請(qǐng)求 body 包含有特殊內(nèi)容,這種情況下普通防火墻就比較難限制。

Nginx 是 HTTP 7 層協(xié)議的實(shí)現(xiàn)者,相對(duì)普通防火墻從通訊協(xié)議有自己的弱勢(shì),同等的配置下的性能表現(xiàn)絕對(duì)遠(yuǎn)不如防火墻,但它的優(yōu)勢(shì)勝在價(jià)格便宜、調(diào)整方便,還可以完成 HTTP 協(xié)議上一些更具體的控制策略,與 iptable 的聯(lián)合使用,讓 Nginx 玩出更多花樣。

列舉幾個(gè)限制策略來源

  • IP 地址
  • 域名、端口
  • Cookie 特定標(biāo)識(shí)
  • location
  • body 中特定標(biāo)識(shí)

示例配置(allow、deny)

location / {
    deny  192.168.1.1;
    allow 192.168.1.0/24;
    allow 10.1.1.0/16;
    allow 2001:0db8::/32;
    deny  all;
}

這些規(guī)則都是按照順序解析執(zhí)行直到某一條匹配成功。在這里示例中,10.1.1.0/16 and 192.168.1.0/24 都是用來限制 IPv4 的,2001:0db8::/32 的配置是用來限制 IPv6。具體有關(guān) allow、deny 配置,請(qǐng)參考這里。

示例配置(geo)

Example:

geo $country {
    default        ZZ;
    proxy          192.168.100.0/24;

    127.0.0.0/24   US;
    127.0.0.1/32   RU;
    10.1.0.0/16    RU;
    192.168.1.0/24 UK;
}

if ($country == ZZ){
    return 403;
}

使用 geo,讓我們有更多的分支條件。注意:在 Nginx 的配置中,盡量少用或者不用 if ,因?yàn)?"if is evil"。點(diǎn)擊查看

目前為止所有的控制,都是用 Nginx 模塊完成,執(zhí)行效率、配置明確是它的優(yōu)點(diǎn)。缺點(diǎn)也比較明顯,修改配置代價(jià)比較高(reload 服務(wù))。并且無法完成與第三方服務(wù)的對(duì)接功能交互(例如調(diào)用 iptable)。

在 OpenResty 里面,這些問題就都容易解決,還記得 access_by_lua* 么?推薦一個(gè)第三方庫(kù)lua-resty-iputils。

示例代碼:

init_by_lua_block {
  local iputils = require("resty.iputils")
  iputils.enable_lrucache()
  local whitelist_ips = {
      "127.0.0.1",
      "10.10.10.0/24",
      "192.168.0.0/16",
  }

  -- WARNING: Global variable, recommend this is cached at the module level
  -- https://github.com/openresty/lua-nginx-module#data-sharing-within-an-nginx-worker
  whitelist = iputils.parse_cidrs(whitelist_ips)
}

access_by_lua_block {
    local iputils = require("resty.iputils")
    if not iputils.ip_in_cidrs(ngx.var.remote_addr, whitelist) then
      return ngx.exit(ngx.HTTP_FORBIDDEN)
    end
}

以次類推,我們想要完成域名、Cookie、location、特定 body 的準(zhǔn)入控制,甚至可以做到與本地 iptable 防火墻聯(lián)動(dòng)。 我們可以把 IP 規(guī)則存到數(shù)據(jù)庫(kù)中,這樣我們就再也不用 reload Nginx,在有規(guī)則變動(dòng)的時(shí)候,刷新下 Nginx 的緩存就行了。

思路打開,大家后面多嘗試各種玩法吧。