Nginx限速和真实IP模块
Nginx rate limit and real IP module
我在 CDN + 负载平衡器设置后面有一个 Nginx 服务器池。 CDN 缓存 HTTP "read" 请求(GET、HEAD、OPTIONS)并绕过 "write" 请求(POST)。
我正在使用 real_ip 模块从 X-FORWARD- 获取客户端的 IP FOR header 在这样的配置中:
set_real_ip_from <trusted_cidr1>
set_real_ip_from <trusted_cidr2>
...
real_ip_recursive on;
real_ip_header X-Forwarded-For;
它可以确认它有效。但是,我也想限制每个客户端的请求率(我假设每个 IP 都是一个不同的客户端),以避免机器人和攻击,所以我使用 limit_req 模块如下:
http {
limit_req_zone $binary_remote_addr zone=perip:10m rate=10r/s;
location / {
limit_req zone=perip burst=5;
}
}
所以,我的问题是:一旦我配置 [,$binary_remote_addr 是否会假设原始客户端的 IP,即请求的真正发起者=42=],或者 Nginx 内部没有像我期望的那样覆盖它?因为如果不这样做,这样的配置肯定会给我带来严重的问题。
我想 Nginx 对此足够聪明,但是一旦我在文档中找不到关于它的确认并且到目前为止没有机会在真实的分布式场景中测试它,我希望有人以前的经验可以告诉我。
谢谢。
目前还没有答案,所以我正在做。
我自己验证了 - real_ip 模块在内部更改了连接源的值,并且出于所有意图和目的,与连接源相关的所有内容成为该 IP(从 X-Forward-For、X-Real-IP 等获得),包括 $binary_remote_addr变量。因此,将其与请求限制配置一起使用是安全的。
Obs:另一方面,它将连接原始IP保存在$realip_remote_addr.
我在 CDN + 负载平衡器设置后面有一个 Nginx 服务器池。 CDN 缓存 HTTP "read" 请求(GET、HEAD、OPTIONS)并绕过 "write" 请求(POST)。
我正在使用 real_ip 模块从 X-FORWARD- 获取客户端的 IP FOR header 在这样的配置中:
set_real_ip_from <trusted_cidr1>
set_real_ip_from <trusted_cidr2>
...
real_ip_recursive on;
real_ip_header X-Forwarded-For;
它可以确认它有效。但是,我也想限制每个客户端的请求率(我假设每个 IP 都是一个不同的客户端),以避免机器人和攻击,所以我使用 limit_req 模块如下:
http {
limit_req_zone $binary_remote_addr zone=perip:10m rate=10r/s;
location / {
limit_req zone=perip burst=5;
}
}
所以,我的问题是:一旦我配置 [,$binary_remote_addr 是否会假设原始客户端的 IP,即请求的真正发起者=42=],或者 Nginx 内部没有像我期望的那样覆盖它?因为如果不这样做,这样的配置肯定会给我带来严重的问题。
我想 Nginx 对此足够聪明,但是一旦我在文档中找不到关于它的确认并且到目前为止没有机会在真实的分布式场景中测试它,我希望有人以前的经验可以告诉我。
谢谢。
目前还没有答案,所以我正在做。
我自己验证了 - real_ip 模块在内部更改了连接源的值,并且出于所有意图和目的,与连接源相关的所有内容成为该 IP(从 X-Forward-For、X-Real-IP 等获得),包括 $binary_remote_addr变量。因此,将其与请求限制配置一起使用是安全的。
Obs:另一方面,它将连接原始IP保存在$realip_remote_addr.