Я розглядаю обмеження швидкості за допомогою HttpLimitReqModule nginx . Однак всі запити надходять з одного і того ж IP-адреса (балансира), з реальною IP-адресою в заголовках.
Чи існує спосіб обмеження швидкості nginx на основі ip у X-Forwarded-Forзаголовку замість ip джерела?
Відповіді:
Так, типовий рядок визначення конфігурації, що обмежує швидкість, виглядає так:
limit_req_zone $binary_remote_addr zone=zone:16m rate=1r/s;
де $binary_remote_addrє унікальний ключ для обмежувача. Спробуйте змінити його на $http_x_forwarded_forзмінну, яка отримує значення X-Forwarded-Forзаголовка. Хоча це збільшить споживання пам'яті, оскільки $binary_remote_addrдля стирання IP-адрес використовується стислий двійковий формат, а $http_x_forwarded_forце не так.
limit_req_zone $http_x_forwarded_for zone=zone:16m rate=1r/s;
$binary_remote_addrзмінна встановлюється правильно.
limit_req_zoneДиректива визначає змінну , яка буде використовуватися в якості ключа для запиту угруповання.
Зазвичай, $binary_remote_addrвикористовується, а не $remote_addrтому, що він менший і економить місце.
Можливо, ви хочете скористатися RealipModule .
Це перезаписує змінні віддаленої адреси на адресу, вказану в користувацькому заголовку, а також полегшить ведення журналів та інше використання змінних.
$binary_remote_addrі $remote_addrвстановлюється значення налаштованого заголовка, як правило X-Forwarded-For- тому ваші стандартні змінні тепер є "реальною IP-адресою клієнта". Запустіть, nginx -Vщоб перевірити, чи було створено NGINX --with-http_realip. Тоді конфігурація настільки ж проста, як: set_real_ip_from 10.0.0.0/8; real_ip_header X-Forwarded-For; де діапазон CIDR - це ваш балансир навантаження, який встановлює X-Forwarder-Forзаголовок.