ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: limit req не для всех



Hello!

On Mon, Oct 26, 2009 at 01:51:01PM +0300, Igor Sysoev wrote:

> On Mon, Oct 26, 2009 at 06:16:19AM -0400, webscripter wrote:
> 
> > Хочу ограничить кол-во сессий в секунду, но не для всех адресов. Есть 
> > список белых заданных с помощью директивы geo через переменную $white. А 
> > как ее подставить в конфиг для location / пока не понял. Помогите плиз.
> 
> Пока никак.

Да ладно тебе - уходишь по if ($white) в другой location, и 
делаешь там всё что душе угодно.

> У меня был идея сделать как-то так:
> 
> limit_req_zone  $...  zone=BOTS:10m    rate=1r/s;
> limit_req_zone  $...  zone=GOOD:10m    rate=5r/s;
> 
> geo  $limit  {
>      default          1;
> 
>      # while list
>      192.168.1.0/24   0;
>      192.168.10.0/24  0;
> }
> 
> server {
> 
>    limit_req   zone=BOTS  burst=1   if $limit;
>    limit_req   zone=GOOD  burst=20  if $limit;
>    limit_req   off;
> 
> или
> 
> geo  $while  {
>      default          0;
> 
>      192.168.1.0/24   1;
>      192.168.10.0/24  1;
> }
> 
> server {
> 
>    limit_req   off  if $white;
>    limit_req   zone=GOOD  burst=20;
>    limit_req   zone=BOTS  burst=1;
> 
> 
> 
> Но тут есть вопросы - как должны срабатывать правила: по первому
> соотвествию if или нет. Если есть несколько правил без if - проверять
> все или нет ?

IMHO, логично было бы проверять все правила, для которых if 
отсутствет или истина.

Но тут возникает всяких неочевидностей.  В первую очередь это 
связано с тем фактом что подсчёт и лимитирование - вообще говоря 
две совершенно разные операции...

1. Если в конфиге написано как-нибудь так:

    limit_req zone=NAME burst=10;
    limit_req zone=NAME burst=1 if $bad;

Для пропущенных запросов из $bad надо увеличить счётчик только на 
1, несмотря на две проверки в одной и той же зоне.

2. Что делать, если одно из правил запрос "зарезало".  Должны ли при этом 
увеличиваться счётчики во всех остальных?

Если говорить о последовательно обработке (проверили правило, 
увеличили счётчики, перешли к следующему правилу), то в 
конструкции вида

    limit_req zone=NAME burst=10;
    limit_req zone=NAME burst=1 if $bad;

"плохой" клиент может съесть всю доступную обычным клиентам 
полосу.  Чтобы он этого не мог сделать - это конкретное простое 
условие можно переписать в виде

    limit_req zone=NAME burst=1 if $bad;
    limit_req zone=NAME burst=10;

но в общем случае двух пересекающихся множеств которые следует 
ограничивать отдельно - задача не решается.  Т.е. если хотим 
решать общую задачу - надо сначала проверять все правила, и 
увеличивать счётчики только если мы не возвращаем 503.

Maxim Dounin



 




Copyright © Lexa Software, 1996-2009.