J'examine la limitation de débit en utilisant HttpLimitReqModule de nginx . Cependant, les demandes proviennent toutes de la même IP (un équilibreur de charge), avec la véritable adresse IP dans les en-têtes.
Existe-t-il un moyen d'avoir nginx rate-limit basé sur l'ip dans l'en- X-Forwarded-Fortête au lieu de l'ip de la source?
Réponses:
Oui, la chaîne de définition de configuration à limitation de débit type ressemble à:
limit_req_zone $binary_remote_addr zone=zone:16m rate=1r/s;
où $binary_remote_addrest la clé unique pour le limiteur. Vous devriez essayer de le changer en $http_x_forwarded_forvariable qui obtient la valeur de l'en- X-Forwarded-Fortête. Bien que cela augmentera la consommation de mémoire car $binary_remote_addrutilise le format binaire compressé pour stocker les adresses IP et $http_x_forwarded_forne l'est pas.
limit_req_zone $http_x_forwarded_for zone=zone:16m rate=1r/s;
$binary_remote_addrvariable est définie correctement.
La limit_req_zonedirective définit la variable à utiliser comme clé pour le regroupement des demandes.
Habituellement, le $binary_remote_addrest utilisé plutôt que $remote_addrparce qu'il est plus petit et économise de l'espace.
Vous souhaitez peut-être également utiliser le RealipModule .
Cela réécrira les variables d'adresse distante à l'adresse fournie dans un en-tête personnalisé et facilitera également la journalisation et l'utilisation d'autres variables.
$binary_remote_addret $remote_addrsont définis sur la valeur de votre en-tête configuré, généralement X-Forwarded-For- de sorte que vos variables standard sont désormais la «véritable adresse IP du client». Exécutez nginx -Vpour voir si NGINX a été construit avec --with-http_realip. La configuration est alors aussi simple que set_real_ip_from 10.0.0.0/8; real_ip_header X-Forwarded-For; :, où la plage CIDR est celle de votre équilibreur de charge en amont qui définit l'en- X-Forwarder-Fortête.