Como limitar a taxa em nginx, mas incluindo / excluindo certos endereços IP?

Question

Como limitar a taxa em nginx, mas incluindo / excluindo certos endereços IP?

#1 resposta do (31 votos)
#2 resposta do (5 votos)

27

Eu posso usar limit_req para limitar todas as solicitações ao meu servidor.

No entanto, gostaria de remover a restrição de taxa para determinados endereços IP (por exemplo, lista de permissões) e usar uma restrição de taxa diferente para alguns outros (ou seja, determinados IPs que eu gostaria de ter como 1r / s).

Eu tentei usar condicionais (por exemplo, if ( $remote_addr = "1.2.3.4" ) {} ), mas parece funcionar apenas com regras de reescrita, não para regras de limite de taxa.

por Jason Cohen 02.09.2010 / 21:11

2 respostas

Localizar servidor DHCP desonesto [duplicado] Como despejar solicitações HTTP inteiras com o apache

score 31 · Answer 1

É realmente melhor evitar o uso da diretiva "if". Quando a chave em limit_req_zone (e limit_conn_zone) está vazia, os limites não são aplicados. Você pode usar isso em conjunto com o mapa e os módulos geográficos para criar uma lista de permissões de IPs onde os limites de aceleração não são aplicados.

Este exemplo mostra como configurar um limite para solicitações simultâneas e taxa de solicitação de um único IP.

http {
    geo $whitelist {
       default 0;
       # CIDR in the list below are not limited
       1.2.3.0/24 1;
       9.10.11.12/32 1;
       127.0.0.1/32 1;
    }

    map $whitelist $limit {
        0     $binary_remote_addr;
        1     "";
    }

    # The directives below limit concurrent connections from a 
    # non-whitelisted IP address to five

    limit_conn_zone      $limit    zone=connlimit:10m;

    limit_conn           connlimit 5;
    limit_conn_log_level warn;   # logging level when threshold exceeded
    limit_conn_status    503;    # the error code to return

    # The code below limits the number requests from a non-whitelisted IP
    # to one every two seconds with up to 3 requests per IP delayed 
    # until the average time between responses reaches the threshold. 
    # Further requests over and above this limit will result 
    # in an immediate 503 error.

    limit_req_zone       $limit   zone=one:10m  rate=30r/m;

    limit_req            zone=one burst=3;
    limit_req_log_level  warn;
    limit_req_status     503;

As diretivas de zona devem ser colocadas no nível http, no entanto, as outras diretivas podem ser colocadas mais abaixo, por exemplo, no servidor ou no nível de localização para limitar seu escopo ou adaptar os limites.

Para mais informações, consulte a documentação do Nginx ngx_http_limit_req_module e ngx_http_limit_conn_module

score 5 · Answer 2

Você pode usar com segurança locais nomeados, como "@location" em um bloco if ().

Veja: link

Algo como isso deve funcionar:

http {

   limit_req_zone $binary_remote_addr zone=delay:10m rate=1r/m;

   server {
      ...

      error_page 410 = @slowdown;

      if( $remote_addr != "1.2.3.4" ) {
         return 410;
      }

      location @slowdown {
         limit_req zone=delay burst 5;
         ...
      }

      location / {
         ...
      }
   }

Preencha "location @slowdown {}" com as mesmas informações que "location / {}, como proxy_pass, se estiver usando o nginx como proxy reverso.