Eu estou olhando para limitar a taxa usando HttpLimitReqModule do nginx . No entanto, todas as solicitações são provenientes do mesmo IP (um balanceador de carga), com o endereço IP real nos cabeçalhos.
Existe uma maneira de ter o limite de taxa nginx com base no ip no X-Forwarded-Forcabeçalho em vez do ip da fonte?
Respostas:
Sim, a sequência típica de definição de configuração com limitação de taxa se parece com:
limit_req_zone $binary_remote_addr zone=zone:16m rate=1r/s;
Onde $binary_remote_addrestá a chave exclusiva para o limitador. Você deve tentar alterá-lo para $http_x_forwarded_forvariável que obtém o valor do X-Forwarded-Forcabeçalho. Embora isso aumente o consumo de memória porque $binary_remote_addrestá usando o formato binário compactado para armazenar endereços IP e $http_x_forwarded_fornão está.
limit_req_zone $http_x_forwarded_for zone=zone:16m rate=1r/s;
$binary_remote_addrvariável será definida corretamente.
A limit_req_zonediretiva define a variável a ser usada como chave para o agrupamento de solicitações.
Geralmente, o $binary_remote_addré usado e não $remote_addrporque é menor e economiza espaço.
Talvez você queira usar o RealipModule como alternativa .
Isso reescreverá as variáveis de endereço remoto para o endereço fornecido em um cabeçalho personalizado e também facilitará o registro e o uso de outras variáveis.
$binary_remote_addre $remote_addrnormalmente é definido como o valor do cabeçalho configurado X-Forwarded-For- portanto, suas variáveis padrão agora são o "endereço IP do cliente real". Corra nginx -Vpara ver se o NGINX foi construído com --with-http_realip. Então a configuração é tão simples quanto set_real_ip_from 10.0.0.0/8; real_ip_header X-Forwarded-For; :, onde a faixa CIDR é a do seu balanceador de carga upstream que está configurando o X-Forwarder-Forcabeçalho.