Настройка Nginx limit_conn
Модуль Nginx ngx_http_limit_conn_module позволяет ограничить число соединений по заданному ключу, в частности, число соединений с одного IP-адреса. Учитываются не все соединения, а лишь те, в которых имеются запросы, обрабатываемые сервером, и заголовок запроса уже прочитан.
Документация для этого модуля http://nginx.org/ru/docs/http/ngx_http_limit_conn_module.html
В Nginx есть возможность ограничить количество соединений с одного адреса при помощи модуль ngx_http_limit_conn_module и ограничить количество запросов в единицу времени с одного адреса при помощи ngx_http_limit_req_module.
Примеры настройки limit_conn
Допустимо одновременное указание нескольких директив limit_conn, при этом будет срабатывать любое из ограничений. Например, следующая конфигурация ограничивает число соединений с сервером с одного клиентского IP-адреса и задает размер разделяемой памяти для состояний. При переполнении зоны в ответ на последующие запросы сервер будет возвращать ошибку (по умолчанию: limit_conn_status 503;).
$binary_remote_addr всегда равна 4 байтам для IPv4-адресов или 16 байтам для IPv6-адресов. При этом размер состояния всегда равен 32 или 64 байтам на 32-битных платформах и 64 байтам на 64-битных. В зоне размером 1 мегабайт может разместиться около 32 тысяч состояний размером 32 байта или 16 тысяч состояний размером 64 байта.
В секции http задается зона разделяемой памяти limit_conn_zone:
limit_conn_zone $binary_remote_addr zone=addr:10m;. limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m; limit_conn_zone $http_x_forwarded_for zone=perip:150m;
Далее уже в server или location описывается число допустимых одновременных соединений c одного ip-адреса. Можно задавать несколько настроек limit_conn в одном конфиге, с помощью limit_conn:
server { ... limit_conn perip 10; limit_conn perserver 100; }
Можно настроить разные лимиты на разные разделы сайта, например, на скрипты PHP и директории с файлами установить более жесткие правила, чем на статику.
location /download/ { # папка с файлами limit_conn addr 1; # разрешаем не более одного соединения с одного IP-адреса }
Более сложный пример, для обратного прокси, но чаще применимый. Первый параметр try_files нужен как заглушка, для дальнейшего перенаправления в локейшен fallback.
location /topcasino { limit_conn perip 5; try_files /does_not_exists @fallback; } location @fallback { proxy_pass http://127.0.0.1:8080; proxy_redirect http://127.0.0.1:8080 /; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Port $server_port; access_log off; }
Директивы наследуются с предыдущего уровня при условии, что на данном уровне не описаны свои директивы limit_conn.
Как собрать ip попадающие под limit_conn
Часто нужно не просто ограничить количество соединений, но и полностью заблокировать IP. Для этого переопределим код ответа, используемый при отклонении запросов на нестандартные ошибку, например
limit_conn_status 429;
В консоли запустим нижеприведенную команду, которая из yoursite.access.log соберет ip в block.conf, перезапустит Nginx и обнулит yoursite.access.log.
while true; do sleep 30 && cat /var/www/httpd-logs/yoursite.access.log | grep -v 403 | grep 429 | awk '{ print $1}' | sort | uniq -c | sort -nr | awk '{ if ($1>50) print "deny " $2 ";"}' >> /etc/nginx/vhosts-includes/block.conf && nginx -t && nginx -s reload && echo > /var/www/httpd-logs/yoursite.access.log ; done
