如何快速封ip？3 种 Nginx 动态封禁方案分享

还在靠 vim 手动加 deny 1.2.3.4;，然后 nginx -s reload？不仅效率低，还容易误操作、漏封、重启抖动……

别担心！本文为你带来 三种真正“动态”、无需复杂开发、生产可用的 Nginx 封 IP 方案，全部附带 完整配置 + 一行命令操作，让你的防护能力秒级生效，运维效率直接翻倍！方案一：OpenResty + Redis 毫秒级动态封禁

实时生效｜无需 reload｜支持自动解封

1. 安装 OpenResty + Redis

# Ubuntu 示例sudo apt install redis-server -ywget -O - https://openresty.org/package/pubkey.gpg | sudo gpg --dearmor -o /usr/share/keyrings/openresty-archive-keyring.gpgecho "deb [signed-by=/usr/share/keyrings/openresty-archive-keyring.gpg] http://openresty.org/package/debian $(lsb_release -sc) openresty" | sudo tee /etc/apt/sources.list.d/openresty.listsudo apt update && sudo apt install -y openresty

2. 配置 /etc/openresty/nginx.conf

worker_processes auto;events { worker_connections 1024; }http {    server {        listen 80;        location / {            access_by_lua_block {                local redis = require "resty.redis"                local red = redis:new()                red:set_timeout(1000)                local ok, err = red:connect("127.0.0.1", 6379)                if not ok then return end                local ip = ngx.var.remote_addr                if red:get("blacklist:" .. ip) ~= ngx.null then                    ngx.exit(403)                end                red:close()            }            proxy_pass http://127.0.0.1:8080;        }    }}

3. 动态封/解 IP（一行命令）

# 封 1 小时redis-cli SETEX blacklist:1.2.3.4 3600 "abuse"# 解封redis-cli DEL blacklist:1.2.3.4

方案二：fail2ban + Nginx 日志 —— 自动分析恶意行为

自动封｜防爆破｜开箱即用

1. 安装 fail2ban

sudo apt install fail2ban -y

2. 创建过滤器 /etc/fail2ban/filter.d/nginx-bad.conf

[Definition]failregex = ^<HOST>.*"(GET|POST).*" (400|403|444|404) .*ignoreregex =

1. 3. 配置 jail /etc/fail2ban/jail.local

[nginx-bad]enabled = trueport = http,httpsfilter = nginx-badlogpath = /var/log/nginx/access.logmaxretry = 5findtime = 600bantime = 3600action = iptables-multiport[name=nginx, port="80,443"]

1. 4. 启动

sudo systemctl restart fail2ban

注：默认用 iptables 封 IP。如坚持只用 Nginx，请看方案三。

方案三：纯 Shell + 文件驱动 —— 最简原生 Nginx 封禁

零依赖｜只用 Nginx｜运维只需写文件

核心思想：维护一个纯文本黑名单文件：/etc/nginx/blacklist.txt（每行一个 IP）用一个 Shell 脚本自动转成 deny 配置并 reload通过 inotifywait 监听文件变化，改完即生效第一步：安装 inotify-tools（监听文件变动）

sudo apt install inotify-tools -y

第二步：创建黑名单目录和初始文件

sudo mkdir -p /etc/nginx/dynamicecho "# 黑名单IP，每行一个，如：1.2.3.4" | sudo tee /etc/nginx/blacklist.txtsudo touch /etc/nginx/dynamic/blacklist.conf

第三步：编写转换脚本 /usr/local/bin/gen_nginx_blacklist.sh

#!/bin/bashINPUT="/etc/nginx/blacklist.txt"OUTPUT="/etc/nginx/dynamic/blacklist.conf"# 清空输出文件echo "# Auto-generated from blacklist.txt. DO NOT EDIT." > "$OUTPUT"# 读取 blacklist.txt，跳过注释和空行，生成 deny 规则while IFS= read -r line; do    line=$(echo "$line" | xargs)  # 去除前后空格    if [[ -n "$line" && "$line" != \#* ]]; then        echo "deny $line;" >> "$OUTPUT"    fidone < "$INPUT"#测试配置 & 重载nginx -t && systemctl reload nginx

赋予执行权限：

sudo chmod +x /usr/local/bin/gen_nginx_blacklist.sh

第四步：在 Nginx 配置中引入黑名单

server {    listen 80;    include /etc/nginx/dynamic/blacklist.conf;  # ← 关键！    location / {        proxy_pass http://127.0.0.1:8080;    }}

第五步：启动监听服务（后台运行）

# 创建 systemd 服务（推荐）或直接运行：nohup inotifywait -m -e modify,move,create,delete /etc/nginx/blacklist.txt \  --format '%f' | while read file; do    echo "[$(date)] blacklist.txt changed, regenerating..."    /usr/local/bin/gen_nginx_blacklist.shdone &

更优雅做法：写成 systemd 服务

使用方式运维只需编辑 /etc/nginx/blacklist.txt

# 示例内容1.2.3.45.6.7.8192.168.100.50

保存文件后，3 秒内自动封禁！无需任何命令！

优点：只需一个文本文件 + 一个 Shell 脚本完全兼容原生 Nginx

三大方案怎么选？

写在最后：

封 IP 不该是体力活！

无论你是技术大牛还是初级运维，总有一款方案让你 告别手动 reload，把时间留给更有价值的事。