Ich untersuche die Geschwindigkeitsbegrenzung mit dem HttpLimitReqModule von Nginx . Anforderungen kommen jedoch alle von derselben IP (einem Loadbalancer) mit der tatsächlichen IP-Adresse in den Headern.
Gibt es eine Möglichkeit, das Nginx-Ratenlimit basierend auf der IP-Adresse im X-Forwarded-ForHeader anstelle der IP-Adresse der Quelle festzulegen?
Antworten:
Ja, eine typische Konfigurationsdefinitionszeichenfolge mit begrenzter Geschwindigkeit sieht wie folgt aus:
limit_req_zone $binary_remote_addr zone=zone:16m rate=1r/s;
wo $binary_remote_addrist der eindeutige Schlüssel für Limiter. Sie sollten versuchen, es in eine $http_x_forwarded_forVariable zu ändern, die den Wert von X-Forwarded-Forheader erhält . Dies erhöht zwar den Speicherverbrauch, da $binary_remote_addrzum Speichern von IP-Adressen das komprimierte Binärformat verwendet wird und $http_x_forwarded_fornicht.
limit_req_zone $http_x_forwarded_for zone=zone:16m rate=1r/s;
$binary_remote_addrVariable korrekt gesetzt.
Die limit_req_zoneDirektive definiert die Variable, die als Schlüssel für die Anforderungsgruppierung verwendet werden soll.
In der Regel wird der $binary_remote_addrverwendet, anstatt $remote_addrdass er kleiner ist und Platz spart.
Vielleicht möchten Sie alternativ das RealipModule verwenden .
Dadurch werden die Remote-Adressvariablen in die in einem benutzerdefinierten Header angegebene Adresse umgeschrieben und die Protokollierung sowie die Verwendung anderer Variablen vereinfacht.
$binary_remote_addrund $remote_addrnormalerweise auf den Wert Ihres konfigurierten Headers eingestellt sind, X-Forwarded-Forsind Ihre Standardvariablen jetzt die "echte Client-IP-Adresse". Führen nginx -VSie den Befehl aus, um festzustellen, ob NGINX mit erstellt wurde --with-http_realip. Dann ist config so einfach wie set_real_ip_from 10.0.0.0/8; real_ip_header X-Forwarded-For; :, wobei der CIDR-Bereich der Ihres Upstream-Load-Balancers ist, der den X-Forwarder-ForHeader setzt.