宝塔防火墙精准封禁异常IP方法

宝塔防火墙本身基于iptables/ufw，不经过Nginx Lua执行阶段，因此无法直接支持基于业务逻辑（如登录失败3次）的动态、精准IP封禁；真正实现毫秒级实时封禁必须依赖OpenResty+lua-resty-iputils，在Nginx配置中通过access_by_lua_block结合共享字典进行内存级判断与拦截，而宝塔仅能作为“事后同步工具”——将Lua记录的封禁IP定期导入系统防火墙或云安全组，二者分层协作才能兼顾灵活性与可靠性。

宝塔防火墙本身不支持基于Lua的动态IP封禁

宝塔面板自带的防火墙（btwaf）是独立于Nginx进程运行的iptables/ufw规则管理工具，它**无法读取Nginx请求体、响应头或Lua脚本中的实时判断结果**。你写的 ngx.var.remote_addr 或 ngx.exit(403) 在宝塔防火墙里完全不生效——它压根不经过Nginx Lua执行阶段。

常见错误现象：
• 在宝塔防火墙「自定义规则」里粘贴一段Lua代码，保存后毫无反应
• 用宝塔的「CC防护」开启后，发现高频请求仍能绕过，因为它的检测只基于固定时间窗口内的请求数，无法结合业务逻辑（如登录失败3次就封）

真正能做精准封禁的地方只有两个：
• Nginx自身 + lua-resty-iputils 或 lua-resty-limit-traffic（需手动编译或安装OpenResty）
• 宝塔「网站」→「配置」→「配置文件」中插入Lua指令（前提是Nginx已启用Lua模块）

确认你的Nginx是否真的支持Lua

宝塔默认安装的Nginx不含Lua支持。直接在配置里写 content_by_lua_block 会导致启动失败，报错：unknown directive "content_by_lua_block"。

必须满足以下全部条件才可行：
• 宝塔已切换为OpenResty（不是“Nginx”），或手动编译Nginx时启用了 --add-module=../ngx_devel_kit 和 --add-module=../lua-nginx-module
• 在Nginx配置顶部确认存在 load_module "modules/ndk_http_module.so"; 和 load_module "modules/ngx_http_lua_module.so";
• 执行 nginx -V 2>&1 | grep -o lua 输出非空

如果输出为空，别折腾配置了——先重装为OpenResty，或用宝塔「软件商店」→「OpenResty」安装并设为默认Web服务。

用lua-resty-iputils实现按行为封禁（非宝塔界面操作）

封禁逻辑必须写在Nginx配置的 location 块或 http 块里，由Lua实时判断。比如：登录接口连续失败3次，5分钟内禁止访问。

实操建议：
• 把IP状态存在共享字典 shared_dict ip_limit 10m;，避免多worker冲突
• 用 iputils:is_private() 过滤内网IP，防止误封
• 封禁时返回 403 并记录到Nginx日志，方便后续用 awk 或日志平台聚合分析
• 不要用 os.execute("iptables -I INPUT ...")，性能差且不跨机器，共享字典+return 403 更轻量

简短示例（放在server块内）：

location /api/login {
    access_by_lua_block {
        local ip = ngx.var.remote_addr
        local dict = ngx.shared.ip_limit
        local key = "block:" .. ip
        if dict:get(key) then
            ngx.exit(403)
        end
    }
    proxy_pass http://backend;
}

宝塔能配合做的只有“事后同步”和“可视化辅助”

你可以在Lua里把被封IP写入一个文本文件（如 /www/server/panel/vhost/firewall/blocked_ips.log），再让宝塔定时任务每5分钟读一次这个文件，调用 bt firewall add 加入系统防火墙——这是唯一能“联动”的方式。

注意几个坑：
• 宝塔命令 bt firewall add 添加的是iptables规则，不能加端口范围，只能封整个IP
• 如果服务器开了云厂商安全组，iptables封禁可能无效，得同步调用云API
• 日志文件权限要设为Nginx worker进程可写（通常是 nobody 或 www 用户）
• 别用 ngx.say() 或 print() 调试，会卡住请求，改用 ngx.log(ngx.INFO, "...")

复杂点在于：Lua里封的是应用层，iptables封的是网络层，两者生命周期、作用范围、清除机制完全不同。想靠一个动作同时搞定，反而容易漏封或误清。

本篇关于《宝塔防火墙精准封禁异常IP方法》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！