1. 安装 Fail2Ban 和 Nginx

如果尚未安装 Fail2Ban 和 Nginx,可以使用以下命令进行安装:

# CentOS默认的仓库中可能不包含Nginx,所以需要添加EPEL(Extra Packages for Enterprise Linux)仓库。

sudo yum install epel-release、

# 安装 Fail2Ban 和 Nginx

sudo yum install fail2ban nginx

2. 确认 Nginx 日志文件位置

确保 Nginx 正在生成访问日志和错误日志,默认情况下,这些日志位于 /var/log/nginx/access.log 和 /var/log/nginx/error.log。

3. 配置 Fail2Ban 监控 Nginx 日志

3.1 创建 Nginx 过滤器(filter)

创建一个新的过滤器文件以检测恶意行为,例如:/etc/fail2ban/filter.d/nginx-ql-reg-sms.conf

sudo nano /etc/fail2ban/filter.d/nginx-ql-reg-sms.conf

nginx-ql-reg-sms.conf内容如下

[Definition]

failregex = ^<HOST> - - .* "GET /api/platform/staff/register/.* HTTP/.*" 200

ignoreregex =

3.2 创建触发过滤器的处理方式(action)

sudo nano /etc/fail2ban/filter.d/nginx-ql-reg-sms-block.conf

nginx-ql-reg-sms-block.conf内容如下:主要是定义了封禁和解禁的动作,封禁时往blockedips.conf中追加一个ip,解禁时移除blockedips.conf中对应的ip

[Definition]

actionstart =

actionstop =

actioncheck =

actionban = echo "deny <ip>;" >> /etc/nginx/blockedips.conf && nginx -s reload

actionunban = sed -i "/deny <ip>;/d" /etc/nginx/blockedips.conf && nginx -s reload

Nginx中的 deny 命令

deny 命令用于拒绝特定的IP地址或IP范围访问某些资源。在Nginx中,deny 指令通常配合 allow 指令使用,以控制对特定资源的访问权限。

使用 deny 命令的场景

封禁特定IP地址:

拒绝某些恶意IP地址的访问。

控制访问权限:

限制内部资源只允许特定IP访问,其他IP一律拒绝。

基本语法

# <address> 可以是单个IP地址、CIDR格式的IP地址范围,或者all(表示拒绝所有访问)。

deny <address>;

# 拒绝单个IP地址访问

location / {

deny 192.168.1.1;

allow all;

}

# 拒绝IP地址范围访问

location / {

deny 192.168.1.0/24;

allow all;

}

# 只允许特定IP地址访问,其他全部拒绝

location /admin {

allow 192.168.1.100;

deny all;

}

3.3使用自定义的过滤器和处理方式

编辑/etc/fail2ban/jail.local,在末尾加上如下配置

#是自定义监控项的名称。

[nginx-ql-reg-sms]

#启用监控项

enabled = true

# 指定使用创建的过滤器文件

filter = nginx-ql-reg-sms

#定义了触发封禁时执行的动作

action = nginx-ql-reg-sms-block

#指定 Nginx 访问日志的位置

logpath = /var/log/nginx/access.log

#在 findtime 时间内允许的最大重试次数

maxretry = 3

#检测时间窗口为 60 秒,即一分钟内

findtime = 60

#封禁时间为 3600 秒(即 1 小时)

bantime = 60

3.4 nginx中对指定接口进行拦截配置

# 在对应的server块中配置具体的接口

location /api/platform/staff/register/ {

# 引入封禁IP列表

include /etc/nginx/blockedips.conf;

proxy_pass http://172.16.0.5:93/api/platform/staff/register/;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header Cookie $http_cookie;

}

4. 常用命令

4.1 启动和重启 Fail2Ban 服务

# 配置修改后,需要启动或重启 Fail2Ban 服务:

sudo systemctl restart fail2ban

# nginx配置修改后需要重载配置

/usr/sbin/nginx -t # 检查配置是否合法

/usr/sbin/nginx -s reload 重载配置

你可以使用以下命令检查 Fail2Ban 的状态,确保其正常运行:

sudo systemctl status fail2ban

4.2 查看所有封禁的 IP

列出所有监狱:首先,列出所有启用的 Fail2Ban 监狱:

sudo fail2ban-client status

查看特定监狱的详细信息:接下来,查看特定监狱的状态和封禁的 IP 地址。例如,要查看 nginx-api-platform-staff-register 监狱的状态:

sudo fail2ban-client status nginx-ql-reg-sms

4.3 解禁IP

如果需要解封某个 IP,可以使用以下命令:

sudo fail2ban-client set  nginx-ql-reg-sms unbanip <IP_ADDRESS>

4.4 查看 Fail2Ban 的状态

# 用来检测当前过滤器在nginx访问日志中是否有匹配数据

sudo fail2ban-client status nginx-ql-reg-sms

Nginx+Fail2ban 实现同一ip在一分钟内连续三次请求同一接口并响应成功时进行封禁的更多相关文章

  1. Redis 在java中的使用(登录验证,5分钟内连续输错3次密码,锁住帐号,半小时后解封)(三)

    在java中使用redis,做简单的登录帐号的验证,使用string类型,使用redis的过期时间功能 1.首先进行redis的jar包的引用,因为用的是springBoot,springBoot集成 ...

  2. 一分钟内搭建全web的API接口神器json-server详解

    JSON-Server 是一个 Node 模块,运行 Express 服务器,你可以指定一个 json 文件作为 api 的数据源. 安装json-server npm install -g json ...

  3. django 实现同一个ip十分钟内只能注册一次

    很多小伙伴都会有这样的问题,说一个ip地址十分钟内之内注册一次,用来防止用户来重复注册带来不必要的麻烦 逻辑: 取ip,在数据库找ip是否存在,存在判断当前时间和ip上次访问时间之差,小于600不能注 ...

  4. nginx环境安装配置fail2ban屏蔽攻击ip

    安装 fail2ban   yum install -y epel-release yum install -y fail2ban 设置 Nginx 的访问日志格式 这个是设置 fail2ban 封禁 ...

  5. nginx 限制及指定IP或IP段访问

    nginx 限制及指定IP或IP段访问. location / { deny 192.168.1.1; allow ; allow ; deny all; } 企业问题案例:Nginx做反向代理的时候 ...

  6. nginx反向代理取得IP地址

    nginx反向代理后,在应用中取得的ip都是反向代理服务器的ip,取得的域名也是反向代理配置的url的域名,解决该问题,需要在nginx反向代理配置中添加一些配置信息,目的将客户端的真实ip和域名传递 ...

  7. Nginx负载均衡反向代理 后端Nginx获取客户端真实IP

    Nginx 反向代理后,后端Nginx服务器无法正常获取客户端的真实IP nginx通过http_realip_module模块来实现的这需要重新编译,如果提前编译好了就无需重新编译了1,重新编译ng ...

  8. django 实现同一个ip十分钟内只能注册一次(redis版本)

    上一篇文章,django 实现同一个ip十分钟内只能注册一次 的时候,我们在注册的时候选择使用的使我们的数据库来报错我们的注册的ip信息,可是如果数据量大,用户多的时候,单单靠我们的数据库 来储存我们 ...

  9. nginx获取上游真实IP(ngx_http_realip_module)

    realip模块的作用是:当本机的nginx处于一个反向代理的后端时获取到真实的用户IP,如果没有realip模块,nginx的access_log里记录的IP会是反向代理服务器的IP,PHP中$_S ...

  10. Nginx 通过 Lua + Redis 实现动态封禁 IP

    一.背景 为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单.对于黑名单之内的 IP ,拒绝提供服务. 二.架构 实现 IP 黑名单的功能有很多途径: 1.在操作系统层面 ...

随机推荐

  1. Java ”框架 = 注解 + 反射 + 设计模式“ 之 反射详解

    Java "框架 = 注解 + 反射 + 设计模式" 之 反射详解 每博一文案 无论幸福还是苦难,无论光荣还是屈辱,你都要自己遭遇与承受. ------ <平凡的世界> ...

  2. 一个用Python将视频变为表情包的工具

    这是一个将视频转变为表情包的工具,现实生活中当我们看到一段搞笑的视频,我们可以将这段视频喂给这段程序,生成gif表情包,这样就可以用来舍友斗图了 1.一些限制 1.这个程序不能转化超过15秒以上的视频 ...

  3. Ruby on Rails Active Record数据库常用操作

    目录 创建 批量插入 判断是否存在 Ruby on Rails 日期查询方法 文档地址: https://freed.gitee.io/rails-guides/active_record_query ...

  4. Java 工程文件的 .gitignore

    以下是一个排查 Java 工程文件的 .gitignore 文件示例: # Java 编译器生成的文件 *.class # Maven 生成的文件夹 target/ # Eclipse 生成的文件夹 ...

  5. 万事通,专精部分领域的多功能 Transformer 智能体

    介绍 我们很高兴分享"万事通"(Jack of All Trades,简称 JAT) 项目,该项目旨在朝着通用智能体的方向发展.该项目最初是作为对 Gato (Reed 等,202 ...

  6. 从源码的角度弄懂MyBatis动态代理开发原理

    MyBatis提供了一种动态代理实现SQL调用的功能,使用者只需要在映射文件中配置SQL语句与映射规则即可完成SQL调用和结果集封装.下面代码展示了动态代理调用的基本步骤: public void t ...

  7. MyBatis两级缓存机制详解

    缓存是提高软硬件系统性能的一种重要手段:硬件层面,现代先进CPU有三级缓存,而MyBatis也提供了缓存机制,通过缓存机制可以大大提高我们查询性能. 一级缓存 ​ Mybatis对缓存提供支持,但是在 ...

  8. 你不知道的PageContext

    你不知道的PageContext 最近在文艺复兴,学习JSP和Servlet,此文为笔者学习记录. 本文分为以下几个部分: 前言 环境搭建 正文 总结 前言 在我们使用的项目中,存储数据最常用的非 S ...

  9. tab切换中嵌套swiper轮播

    今天在做官网的时候需要用到swiper多图轮播的功能,但是得嵌套在tab切换中,就在我把砖都搬完后,发现了个问题,就是我在进行tab切换后,发现原本设置的swiper的自动轮播竟然失效了,而且样式也是 ...

  10. Qt-绘图设备

    1  简介 参考视频:https://www.bilibili.com/video/BV1XW411x7NU?p=40 Qt绘图设备有三种:QPixmap.QBitmap.QImage.QPictur ...