分类: nginx

【推荐】nginx限速白名单配置,GEO和MAP

[ 2016-08-03 22:05:26 | 作者: admin ]
字号: | |
p.s. 较新版本的nginx中默认已经加载了 ngx-http-geo-module 和 ngx-http-map-module ,所以不必再额外添加模块。
另外,如果修改nginx.conf没有生效,-s reload无法生效的话需要干掉所有nginx进程,重新打开nginx 。参考: http://blog.xg98.com/article.asp?id=2656

在没有人为操作删除的情况下(without-http_geo_module),nginx默认模块中已经加载了ngx-http-geo-module相关内容;
ngx-http-geo-module可以用来创建变量,变量值依赖于客户端 ip 地址;
ngx-http-map-module可以基于其他变量及变量值进行变量创建,其允许分类,或者映射多个变量到不同值并存储在一个变量中;
ngx-http-map-module相关内容同样在默认nginx中已存在,除非由人为移除( --without-http_map_module)

在《nginx限制连接数ngx_http_limit_conn_module模块》和《nginx限制请求数ngx_http_limit_req_module模块》中会对所有的IP进行限制。在某些情况下,我们不希望对某些IP进行限制,如自己的反代服务器IP,公司IP等等。这就需要白名单,将特定的IP加入到白名单中。下面来看看nginx白名单实现方法,需要结合geo和map指令来实现。geo和map指令使用方法参见下面文章。《nginx geo使用方法》和《nginx map使用方法》。不扯蛋了,看配置。
http {
   geo $whiteiplist {
   default 1;
   127.0.0.1 0;
   10.0.0.0/8 0;
   121.207.242.0/24 0;
   }
  
   map $whiteiplist $limit {
   1 $binary_remote_addr;
   0 "";
   }
  
   limit_conn_zone $limit zone=limit:10m;
  
   server {
                listen 8080;
                server_name test.ttlsa.com;
  
                location ^~ /ttlsa.com/ {
                     limit_conn limit 4;
                     limit_rate 200k;
                     alias /data/www.ttlsa.com/data/download/;
                }
   }
}


技术要点:
1. geo指令定义一个白名单$whiteiplist, 默认值为1, 所有都受限制。 如果客户端IP与白名单列出的IP相匹配,则$whiteiplist值为0也就是不受限制。
2. map指令是将$whiteiplist值为1的,也就是受限制的IP,映射为客户端IP。将$whiteiplist值为0的,也就是白名单IP,映射为空的字符串。
3. limit_conn_zone和limit_req_zone指令对于键为空值的将会被忽略,从而实现对于列出来的IP不做限制。

测试方法:
# ab -c 100 -n 300 http://test.ttlsa.com:8080/ttlsa.com/docs/pdf/nginx_guide.pdf

如需转载请注明出处:http://www.ttlsa.com/html/3230.html
[最后修改由 admin, 于 2020-03-31 15:59:17]
评论Feed 评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=2332

这篇日志没有评论。

此日志不可发表评论。