ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Ограничение соединений с b ackend





16 июня 2009 г. 18:13 пользователь Sergej Kandyla <sk.paix@xxxxxxxxx> написал:
Защита от перегрузок это отдельная песня.
Я думаю, стоит определиться с характером запросов и выделять агрессивных клиентов.
Желательно банить таких на основе фаервольных фильтров   --connlimit-above 15 -j REJECT  || source-track rule (pf)
Возможно, conn_limit  для  $remote_addr$http_user_agent, чтобы кто-то избыточно агресивно не нагружал бекенд

верно но не всегда применимо, например в случае использования централизованных http и WAP шлюзов

Против мелко-средних DDoS, которые не забивают полностью канал, ничего лучше скриптов вроде еще не придумали. Т.е. получается мониторинг + трезвый админ + скрипты. Ботов в фаерволл.

Все остальное будут условно нормальные юзера.

наша задача как раз начинается здесь
 
При этом, nginx получает максимально быстро ответ от бекенда и уже сам обслуживает медленных клиентов.
Если число ликвидных пользователей превысит число свободных чаилдов бекенда (апача), то вы будете получать ваше

error_page  503 =200 /sorry.html;

Нет! будет таймаут. Пожалуйста, еще раз перечитайте тред.

Чем проще - тем лучше!

ну это несомненно :)


 




Copyright © Lexa Software, 1996-2009.