此文转载自:斐斐のBlog
原文地址:宝塔面板Nginx的Lua-Waf防火墙终极改进 动态封禁IP
实在没有需要修改的地方,就连理由都一样,原文如下:
宝塔面板自带的Nginx防火墙有些鸡肋,对于大量的恶意攻击只能临时拦截,而不能封禁IP,下面的修改可以帮你做到:
CC攻击屡教不改,立即ban!
漏洞扫描屡教不改:立即ban!
同一个IP段轮流攻击,整个IP段都给你ban了!
使用了CDN?没关系,获取了真实IP再ban!
一小时后,unban……
宝塔面板的nginx修改/www/server/nginx/waf/目录下的三个文件即可,如果没有宝塔面板,nginx必须安装Lua,然后对下面的代码稍加修改,并且自己加上正则黑名单(或者下载个宝塔面板把规则文件拷出来)也可以正常使用。
代码:config.lua
RulePath = "/www/server/panel/vhost/wafconf/" --规则文件夹
attacklog="on"
logdir = "/www/wwwlogs/waf/" --日志文件夹
UrlDeny="on"
Redirect="on"
CookieMatch="on"
postMatch="on"
whiteModule="on"
black_fileExt={"php"}
ipWhitelist={}
ipBlocklist={}
CCDeny="on"
CCrate="500/100" --这个是CC攻击的几秒钟允许请求几次