Nginx速率限制和真实IP模块

时间:2016-01-03 01:27:20

标签: nginx limit

我在CDN +负载均衡器设置后面有一个 Nginx 服务器池。 CDN缓存HTTP“读取”请求(GET,HEAD,OPTIONS)并绕过“写入”请求(POST)。

我正在使用 real_ip 模块在以下配置中从 X-FORWARD-FOR 标头获取客户端的IP:

set_real_ip_from <trusted_cidr1>
set_real_ip_from <trusted_cidr2>
...
real_ip_recursive on;
real_ip_header X-Forwarded-For;

它可以确认它有效。但是,我还想限制每个客户端的请求率(我会假设每个IP都是一个独特的客户端),以避免机器人和攻击,所以我使用 limit_req 模块如下:

http {

  limit_req_zone $binary_remote_addr zone=perip:10m rate=10r/s;

  location / {
    limit_req zone=perip burst=5;
  }

}

所以,我的问题是: $ binary_remote_addr 假设原始客户端的IP,请求的真正发起者,一旦我配置了 real_ip ,或者内部Nginx没有像我期待的那样覆盖这个?因为如果不这样,那样的配置肯定会给我带来严重的问题。

我认为Nginx足够聪明,但是一旦我在文档上找不到关于它的确认,并且到目前为止我没有机会在真实的分布式场景中测试它,我希望有以前经验的人这样做可以告诉我。

谢谢。

1 个答案:

答案 0 :(得分:18)

到目前为止还没有答案,所以我正在这样做。

我自己验证了 - real_ip 模块在内部更改了连接源的值,并且出于所有意图和目的,与连接源相关的所有内容都变成了IP(来自 X-Forward-For X-Real-IP 等),包括 $ binary_remote_addr 变量。因此,在请求限制配置中使用它是安全的。

Obs:另一方面,它将连接原始IP保存在 $ realip_remote_addr 上。