Nginx में रेट-लिमिट कैसे करें, लेकिन कुछ आईपी एड्रेस को शामिल / छोड़कर?

मैं limit_reqअपने सर्वर के सभी अनुरोधों को दर-सीमा तक उपयोग करने में सक्षम हूं।

हालाँकि मैं कुछ IP पते (यानी श्वेतसूची) के लिए दर प्रतिबंध को हटाना चाहता हूं और कुछ अन्य लोगों के लिए एक अलग दर प्रतिबंध का उपयोग करता हूं (यानी कुछ निश्चित IP जिन्हें मैं 1r / s से कम चाहूंगा)।

मैंने सशर्त (जैसे if ( $remote_addr = "1.2.3.4" ) {}) का उपयोग करने की कोशिश की, लेकिन यह केवल फिर से लिखने के नियमों के साथ काम करता है, दर-सीमा नियमों के लिए नहीं।

nginx rate-limiting

— जेसन कोहेन
स्रोत

जवाबों:

"अगर" निर्देश का उपयोग करने से बचना वास्तव में बेहतर है। जब सीमा में key_req_zone (और limit_conn_zone) खाली है तो सीमाएं लागू नहीं होती हैं। आप मैप्स और जियो मॉड्यूल्स के साथ मिलकर इसका इस्तेमाल कर सकते हैं ताकि IPs का व्हाइटलाइट बनाया जा सके जहां थ्रॉटल लिमिट लागू नहीं है।

यह उदाहरण दिखाता है कि कैसे एक आईपी से समवर्ती अनुरोधों और अनुरोध दर दोनों के लिए एक सीमा को कॉन्फ़िगर किया जाए।

http {
    geo $whitelist {
       default 0;
       # CIDR in the list below are not limited
       1.2.3.0/24 1;
       9.10.11.12/32 1;
       127.0.0.1/32 1;
    }

    map $whitelist $limit {
        0     $binary_remote_addr;
        1     "";
    }

    # The directives below limit concurrent connections from a 
    # non-whitelisted IP address to five

    limit_conn_zone      $limit    zone=connlimit:10m;

    limit_conn           connlimit 5;
    limit_conn_log_level warn;   # logging level when threshold exceeded
    limit_conn_status    503;    # the error code to return

    # The code below limits the number requests from a non-whitelisted IP
    # to one every two seconds with up to 3 requests per IP delayed 
    # until the average time between responses reaches the threshold. 
    # Further requests over and above this limit will result 
    # in an immediate 503 error.

    limit_req_zone       $limit   zone=one:10m  rate=30r/m;

    limit_req            zone=one burst=3;
    limit_req_log_level  warn;
    limit_req_status     503;

ज़ोन के निर्देशों को http स्तर पर रखा जाना चाहिए, हालांकि अन्य निर्देशों को सर्वर या स्थान स्तर पर उनके दायरे या आगे दर्जी की सीमाओं को सीमित करने के लिए और नीचे रखा जा सकता है।

भविष्य की जानकारी के लिए Nginx प्रलेखन ngx_http_limit_req_module और ngx_http_limit_conn_module देखें

— shonky linux उपयोगकर्ता
स्रोत

इन 2 मॉड्यूल में क्या अंतर है?

— मंटे

टिप्पणियों के अनुसार, पहली सीमा समवर्ती कनेक्शन, दूसरी सीमाएं कनेक्शन की दर को सीमित करती हैं

— shkyky linux उपयोगकर्ता

क्या आप बता सकते हैं कि आप मैपिंग दो चरणों में क्यों करते हैं, geoइसके बाद सीधे सेट mapकरने के geoलिए केवल उपयोग के बजाय $limit?

— मार्कस डाउनिंग

ऐसा लगता है कि यह geoएक चर के लिए मैप नहीं कर सकता है, यदि आप $binary_remote_addrमानचित्रण मूल्य के रूप में निर्दिष्ट करते हैं तो यह शाब्दिक स्ट्रिंग में बदल जाएगा "$binary_remote_addr", चर का मान नहीं।

— कॉलिनएम

मैं यह जोड़ना चाहूंगा कि यदि विचाराधीन आईपी पहले से ही ज़ोन में है, तो आपको nginx को पुनरारंभ करना होगा ; पुनः लोड करना पर्याप्त नहीं है।

— हाफगैर

आप सुरक्षित रूप से नामित स्थानों का उपयोग कर सकते हैं, जैसे कि "@ ब्लॉक" अगर () ब्लॉक में।

देखें: http://wiki.nginx.org/IfIsEvil

कुछ इस तरह काम करना चाहिए:

http {

   limit_req_zone $binary_remote_addr zone=delay:10m rate=1r/m;

   server {
      ...

      error_page 410 = @slowdown;

      if( $remote_addr != "1.2.3.4" ) {
         return 410;
      }

      location @slowdown {
         limit_req zone=delay burst 5;
         ...
      }

      location / {
         ...
      }
   }

"स्थान @slowdown {}" में "स्थान / {} जैसी जानकारी के साथ भरें, जैसे कि प्रॉक्सी_पास यदि आप nginx को रिवर्स प्रॉक्सी के रूप में उपयोग कर रहे हैं।

— रॉबर्ट सुह
स्रोत

मुझे यकीन नहीं है कि मैं 410 भाग को समझ सकता हूं? क्या ग्राहक वास्तव में http 410 स्थिति कोड देखते हैं?

— svrist

वाह, यह वास्तव में काम करता है! बहुत ही निफ्टी error_pageट्रिक, +1! @svrist, serverfault.com/a/870170/110020 को इस तरह से कैसे और कुछ काम करेगा, की पूरी व्याख्या के लिए देखें ।

— cnst