1.限制IP通路頻率:
HttpLimitZoneModule 限制并發連接配接數執行個體
limit_zone隻能定義在http作用域,limit_conn可以定義在http server location作用域
#定義一個名為allips的limit_req_zone用來存儲session,大小是10M記憶體,
#以$binary_remote_addr為key,限制平均每秒的請求為20個,
#1M能存儲16000個狀态,rete的值必須為整數,
#如果限制兩秒鐘一個請求,可以設定成30r/m
limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
server{
location {
#限制每ip每秒不超過20個請求,漏桶數burst為5
#brust的意思就是,如果第1秒、2,3,4秒請求為19個,
#第5秒的請求為25個是被允許的。
#但是如果你第1秒就25個請求,第2秒超過20的請求傳回503錯誤。
#nodelay,如果不設定該選項,嚴格使用平均速率限制請求數,
#第1秒25個請求時,5個請求放到第2秒執行,
#設定nodelay,25個請求将在第1秒執行。
limit_req zone=allips burst=5 nodelay;
}
}
2.限制user_agent,下例是屏蔽httpclient請求過來的示例:
if ($http_user_agent ~*(Apache-HttpClient)) {
return 200;
}
3.緊急情況封IP
deny
文法: deny address | CIDR |unix: | all;
預設值: —
配置段: http, server, location,limit_except
禁止某個ip或者一個ip段通路.如果指定unix:,那将禁止socket的通路.注意:unix在1.5.1中新加入的功能,如果你的版本比這個低,請不要使用這個方法。
location/ {
deny 192.168.1.1; 封192.168.1.1
allow 192.168.1.0/24; 封192.168.1.0-192.168.1.255
deny all; 封所有IP
}