apache 2.4 лимитирoвать запрoсы в сeкунду

0

1

Пoдскажите рабoчий вариант (важнo, рабoчий прoверенный личнo вами) пoзвoляющий лимитирoвать запрoсы с oднoгo IP по количеству за интервал времени к желательнo виртуальнoму хoсту, нo если даже не на урoвне виртуальнoгo хoста, тo пoдoйдет и на урoвне для всех виртуальных хoстoв. Примеры из сети прoшу не привoдить - их я видел, тoлькo личный oпыт - тo чтo вы прoбoвали.

Ссылка

←	nftables блокирует ipv6

удалить set-cookie по регулярному выражению в апаче

→

а mpm у вас какой? я очень давно лимитировал трафик с помощью squid параметром delay pools.

jura12 ★
(08.12.20 11:46:24 MSK)

Ответ на: комментарий от jura12 08.12.20 11:46:24 MSK

без привязки к mpm. сейчас worker. squid - это не апач. нужно средствами apache. и отдавать что-то html+код если есть превышение типа 403.

VoDD87 ★
(08.12.20 12:47:05 MSK) автор топика

Ссылка

Iptables не вариант?

skyman ★★★
(08.12.20 12:57:13 MSK)

Ответ на: комментарий от skyman 08.12.20 12:57:13 MSK

нет, надо отдавать HTML\код если превышение.

VoDD87 ★
(08.12.20 12:58:51 MSK) автор топика

Ссылка

mod_limitipconn в помощь

Pinkbyte ★★★★★
(08.12.20 14:09:24 MSK)

Ответ на: комментарий от Pinkbyte 08.12.20 14:09:24 MSK

просил ведь без советов из поисковых систем. если вы использовали лично - приведите пример настроек рабочих под задачу.

VoDD87 ★
(08.12.20 14:55:38 MSK) автор топика

Ответ на: комментарий от VoDD87 08.12.20 14:55:38 MSK

Легко:

        <IfDefine LIMITIPCONN>
                MaxConnPerIP 10
        </IfDefine>

IfDefine тут, потому что у меня Gentoo. Дальше переопределяем 503 страницу и обрабатываем в ней переменную окружения LIMITIP

Pinkbyte ★★★★★
(08.12.20 15:10:52 MSK)

Ответ на: комментарий от Pinkbyte 08.12.20 15:10:52 MSK

спасибо. почти подошло - так как тут речь идет о одновременных соединениях. мне не подойдет. уточнил в теме - по количеству за интервал времени. то есть не одновременных с IP адреса, а максимум столько то запросов с одного IP за такой то промежуток времени.

VoDD87 ★
(08.12.20 15:16:26 MSK) автор топика

Ответ на: комментарий от VoDD87 08.12.20 15:16:26 MSK

Все известные мне модули с подобной гибкостью настроек скисли в районе апача 2.2, увы. Сейчас апач в качестве фронтэнда на продакшене используют только люди, которым подобные вещи не нужны.

Pinkbyte ★★★★★
(08.12.20 18:48:26 MSK)
Последнее исправление: Pinkbyte 08.12.20 18:48:36 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от VoDD87 08.12.20 15:16:26 MSK

уточнил в теме - по количеству за интервал времени. то есть не одновременных с IP адреса, а максимум столько то запросов с одного IP за такой то промежуток времени.

Средствами только самого апача, скорей всего никак. Мне кажется fail2ban, это то что нужно. Создает правила блокировки iptables. Можно задать кол-во попыток подключения за единицу времени. Если условие соблюдено, отправляет ip злоумышленика в бан лист. Время нахождения в бан листе так-же задается. Удобен еще тем что защитит от брута не только апач, но и другие сервисы какие пожелаете.

Humaxoid ★
(08.12.20 22:53:05 MSK)