Re: Проблема с блокировкой IP адресов, а также с limit_conn

Doronin Sergey nophear at yandex.ru
Sun Jan 25 15:02:22 MSK 2009


ясно, значит для поставленных задач эти директивы совершенно не годятся. Тогда такой вопрос, можно всё-таки каким-то образом решить данный вопрос средствами nginx?
Я пользуюсь веб-хостингом, поэтому доступа к файрволлу у меня нет.

> limit_conn и deny работают не на уровне сети, а на кровне nginx'a - он просто будет выдавать ошибки тем ip. 
> А для блокировки ip/отслеживания кол-ва соединений обычно пользуются фаирволлом.
> 
>  25 января 2009 г. 13:38 пользователь Доронин Сергей <nophear at yandex.ru> написал:
> >  Здравствуйте!
> >  У меня на сервере на 8080 порту установлен apache, а на 80 nginx. Иногда мой сайт подвергается http-флуд атакам, что влечёт за собой множество
> > 
> >  соединений с одного IP. Соответственно мне нужно средствами nginx ограничивать количество соединений с одного IP и блокировать доступ к сайту
> > 
> >  для некоторых IP адресов. В документации по nginx я нашёл решение обоих вопросов. Вырезка из nginx.conf:
> > 
> >  # NGINX Server configuration
> > 
> >  worker_processes  3;
> > 
> >  error_log  /home/myhost/logs/error.log;
> > 
> >  pid        /home/myhost/logs/nginx.pid;
> > 
> >  events {
> >     worker_connections  1024;
> >  }
> > 
> > 
> >  http {
> >     include       /usr/local/etc/nginx/mime.types;
> >     default_type  application/octet-stream;
> >     server_names_hash_bucket_size 64;
> > 
> >     access_log  /home/myhost/logs/access.log combined;
> > 
> >     sendfile        on;
> > 
> >     keepalive_timeout  20;
> > 
> > 
> >     limit_zone   one  $binary_remote_addr  10m;
> > 
> >     server {
> >         listen       1.2.3.4:80;
> >         server_name  myhost.nichost.ru www.myhost.nichost.ru;
> > 
> >         limit_conn   one  3;
> > 
> >         allow all;
> >         deny 92.113.238.129;
> >  .....................
> >  Где 1.2.3.4 - IP моего сервера.
> >  С данным конфигом я запускаю nginx. После этого смотрю в netstat и вижу такую картину:
> > 
> >  [myhost at web48 ~]$ netstat -an|grep ESTABLISH|more
> >  netstat: kvm not available
> >  tcp4       0      0  1.2.3.4.80      62.182.93.42.55050     ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20928   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.124.46.214.3788     ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.19614   ESTABLISHED
> >  tcp4       0      0  1.2.3.4.80      62.182.93.42.56534     ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      62.182.93.42.64848     ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.19580   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20842   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      95.79.9.220.3079       ESTABLISHED
> >  tcp4       0    690  1.2.3.4.80      92.126.158.158.49561   ESTABLISHED
> >  tcp4       0    690  1.2.3.4.80      92.126.158.158.49560   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20807   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20795   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.19495   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20776   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      95.79.9.220.3078       ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20775   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20774   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      89.250.149.46.61099    ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20760   ESTABLISHED
> >  tcp4       0    690  1.2.3.4.80      92.243.181.212.17171   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.124.46.214.3784     ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20735   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20738   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20718   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20708   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20699   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20669   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20666   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.19411   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20657   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20633   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.19377   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.19400   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.124.46.214.3780     ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20599   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20598   ESTABLISHED
> >  tcp4       0    330  1.2.3.4.80      92.113.238.129.20587   ESTABLISHED
> >  [myhost at web48 ~]$ ps aux|grep nginx
> >  myhost 89909  0.0  0.0 12224  1220  ??  Ss   12:47PM   0:00.00 nginx: master process /usr/local/sbin/nginx -c /home/myhost/nginx/nginx.conf
> > 
> >  (nginx)
> >  myhost 89910  0.0  0.1 12684  1692  ??  S    12:47PM   0:06.15 nginx: worker process (nginx)
> >  myhost 89911  0.0  0.0 12500  1508  ??  S    12:47PM   0:08.07 nginx: worker process (nginx)
> >  myhost 89912  0.0  0.0 12500  1508  ??  S    12:47PM   0:08.19 nginx: worker process (nginx)
> >  myhost 94547  0.0  0.0  1592   836  p5  S+    1:13PM   0:00.00 grep nginx
> >  [myhost at web48 ~]$
> > 
> >  92.113.238.129 - данный IP не только успешно соединяется с nginx (не смотря на "deny"), но и делает это параллельно бесконечное множество раз
> > 
> >  (не смотря на limit_zone/limit_conn). Скажите пожалуйста, что я делаю не так? Почему nginx игнорирует соответствующие директивы в конфигах?
> > 
> >  Заранее, спасибо!
> > 
> 
> 
> 
> -- 
> С уважением, Борис Долгов.
> icq 77556665
> e-mail boris at dolgov.name


Зал славы: смотрите лучшее на Яндекс.Фотках http://fotki.yandex.ru/hall-of-fame/





More information about the nginx-ru mailing list