limitation du débit nginx avec en-tête X-Forwarded-For

J'examine la limitation de débit en utilisant HttpLimitReqModule de nginx . Cependant, les demandes proviennent toutes de la même IP (un équilibreur de charge), avec la véritable adresse IP dans les en-têtes.

Existe-t-il un moyen d'avoir nginx rate-limit basé sur l'ip dans l'en- X-Forwarded-Fortête au lieu de l'ip de la source?

Oui, la chaîne de définition de configuration à limitation de débit type ressemble à:

 limit_req_zone  $binary_remote_addr zone=zone:16m rate=1r/s;

où $binary_remote_addrest la clé unique pour le limiteur. Vous devriez essayer de le changer en $http_x_forwarded_forvariable qui obtient la valeur de l'en- X-Forwarded-Fortête. Bien que cela augmentera la consommation de mémoire car $binary_remote_addrutilise le format binaire compressé pour stocker les adresses IP et $http_x_forwarded_forne l'est pas.

 limit_req_zone  $http_x_forwarded_for zone=zone:16m rate=1r/s;

La limit_req_zonedirective définit la variable à utiliser comme clé pour le regroupement des demandes.
Habituellement, le $binary_remote_addrest utilisé plutôt que $remote_addrparce qu'il est plus petit et économise de l'espace.

Vous souhaitez peut-être également utiliser le RealipModule .
Cela réécrira les variables d'adresse distante à l'adresse fournie dans un en-tête personnalisé et facilitera également la journalisation et l'utilisation d'autres variables.