nginx: забанить клиента по limit_req

ipset, iptables, nginx

1

0

гугль предлогает разные велосипеды с использованием fail2ban.

Чем плох вариант

        error_page   503  /ban/one.html;
        location = /ban/one.html {
            fastcgi_pass   YYYYYYYYYY;
            include        fastcgi_params;
            fastcgi_param  SCRIPT_FILENAME $fastcgi_script_name;
        }
        location /XXXX {
                limit_req   zone=one burst=5 nodelay;
        }

По-умолчанию limit_req дает 503. Его перенаправляем через error_page на fcgi-программу которая добавляет REMOTE_ADDR в какой-нибудь ipset, а в iptables дропает все новые коннекты с адресов из этого набора. ipset в виде хеша с таймаутом.

Ссылка

←	Объединение сетевых интерфейсов

dovecot письмо новому пользователю

→

Такой же костыль, ничем не лучше fail2ban.

beastie ★★★★★
(24.10.13 00:27:23 MSK)

Ответ на: комментарий от beastie 24.10.13 00:27:23 MSK

fail2ban не нравится своей асинхронностью, питоном, вызовом ipset и использованием логов ошибок (которые у меня лежат по разным каталогам).

Из fcgi-программы можно использовать libipset для добавления адресов в набор.

vel ★★★★★
(24.10.13 10:30:14 MSK) автор топика

Ответ на: комментарий от vel 24.10.13 10:30:14 MSK

Есть мнение, что при хорошем ddos использовать для защиты cgi ( пусть даже fastcgi ) - неудачная мысль

router ★★★★★
(24.10.13 10:34:47 MSK)

Ответ на: комментарий от router 24.10.13 10:34:47 MSK

cgi - слишком тяжело, да и nginx сам не умеет cgi.

fcgi-приложение - нормальное решение (главное чтоб оно было не на php).

vel ★★★★★
(24.10.13 10:43:24 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Объединение сетевых интерфейсов

dovecot письмо новому пользователю

→