https://wiki.webko.net.ua/index.php?action=history&feed=atom&title=Nginx_http_flood_%28limit_conn_module%2Bfail2ban%29Nginx http flood (limit conn module+fail2ban) - История изменений2026-04-15T21:49:50ZИстория изменений этой страницы в викиMediaWiki 1.35.1https://wiki.webko.net.ua/index.php?title=Nginx_http_flood_(limit_conn_module%2Bfail2ban)&diff=136&oldid=prevSol: Новая страница: «Добавим в /etc/nginx/nginx.conf (в секцию http) строчку: limit_req_zone $binary_remote_addr zone=mysitelimit:10m rate=4r/s; Так мы…»2015-04-21T19:42:33Z<p>Новая страница: «Добавим в /etc/nginx/nginx.conf (в секцию http) строчку: limit_req_zone $binary_remote_addr zone=mysitelimit:10m rate=4r/s; Так мы…»</p>
<p><b>Новая страница</b></p><div>Добавим в /etc/nginx/nginx.conf (в секцию http) строчку:<br />
<br />
limit_req_zone $binary_remote_addr zone=mysitelimit:10m rate=4r/s;<br />
Так мы ограничим число запросов до 4 в секунду с одного ип. Учтите, что вам, возможно, потребуется другое значение rate.<br />
<br />
Теперь идем в конфигурационный файл виртуального хоста, например /etc/nginx/sites-enabled/example.com:<br />
...<br />
listen some_ip:80;<br />
server_name example.com www.example.com;<br />
root /var/www/example.com/;<br />
...<br />
location / {<br />
#ваша конфигурация<br />
<br />
limit_req zone=mysitelimit burst=6;<br />
<br />
error_page 410 = @nolimit;<br />
<br />
if ($http_user_agent ~ Googlebot|YandexBot|bingbot|Baiduspider) {<br />
return 410;<br />
}<br />
<br />
location @nolimit {<br />
#ваша конфигурация<br />
}<br />
<br />
location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf|ico)$ {<br />
root /var/www/example.com/;<br />
access_log off;<br />
error_log off;<br />
...<br />
}<br />
Таким образом мы ограничили частоту запросов до 4 в секунду с всплесками до 6 и отключили лимит для поисковиков. Опять же, возможно, вам нужны другие параметры. Проверяйте на конкретном сайте. Заметьте, у вас обязательно должна быть отдельная локация под статику, иначе лимит будет распространяться и на нее, а это нам совсем не нужно.<br />
<br />
Fail2ban<br />
Установка типична:<br />
aptitude install fail2ban<br />
Дальше создадим правило для nginx. В /etc/fail2ban/filter.d/nginx-conn-limit.conf<br />
<br />
[Definition]<br />
failregex = limiting requests, excess.*by zone.*client: <HOST><br />
<br />
И в конце /etc/fail2ban/jail.conf включим правило:<br />
<br />
[nginx-conn-limit]<br />
<br />
enabled = true<br />
filter = nginx-conn-limit<br />
action = iptables-multiport[name=ConnLimit, port="http,https", protocol=tcp]<br />
logpath = /var/log/nginx/error.log<br />
findtime = 300<br />
bantime = 7200<br />
maxretry = 10<br />
<br />
Тут, возможно, вам нужно будет сменить путь на error лог своего хоста. Банить будем на 2 часа.<br />
Теперь перезапустим fail2ban: /etc/init.d/fail2ban restart<br />
<br />
Посмотреть список забаненых можно с помощью iptables -L fail2ban-ConnLimit<br />
[[Категория:Nginx]]</div>Sol