Nginx-限制汇总

http块

limit_conn_zone $binary_remote_addr zone=connperip:10m;
limit_conn_zone $server_name zone=connperserver:10m;

limit_req_zone $binary_remote_addr zone=reqperip:10m;
limit_req_zone $server_name zone=reqperserver:10m;
limit_req_zone $http_x_forwarded_for zone=qps2:10m rate=2r/s;
limit_req_zone $http_x_forwarded_for zone=qps3:10m rate=3r/s;
limit_req_zone $binary_remote_addr $request_uri zone=thre:3m rate=1r/s; #支持多个变量，比如限制同一 IP 访问同一 Url 的频率

　　要限制连接，必须先有一个容器对连接进行计数，在http段加入如下代码："zone=" 给它一个名字，可以随便叫，这个名字要跟后面的 limit_conn 一致，$binary_remote_addr， 用二进制来储存客户端的地址，1m 可以储存 32000 个并发会话，也可以用其他 Nginx 变量。

　　限制请求数同限制连结束，但是后面 rate=2r/s，即漏桶原理，表示每秒只处理 2 个连接。定义一个漏桶，滴落速率 2 req/sec，桶空间10m，10M能保持大约160000个(IP)状态。

server块

limit_conn perip ; #每个IP最大连接数为8
limit_req zone=qps2 burst= nodelay; #速率qps=，峰值burst=，不延迟请求，直接处理请求或者返回503
limit_req zone=qps2 burst=; #速率qps=，峰值burst=，延迟请求，严格按照漏桶速率qps=1处理每秒请求，在峰值burst=5以内的并发请求，会被挂起，延迟处理，超出请求数限制则直接返回503，客户端只要控制并发在峰值[burst]内，就不会触limit_req_error_log
limit_rate 100k; #是对每个连接限速100k。这里是对连接限速，而不是对IP限速！如果一个IP允许两个并发连接，那么这个IP就是限速limit_rate * 2

白名单

　　文件: nginx/conf/limit/whiteip.conf

127.0.0.1 ;        #白名单: 127.0.0.1
172.16.0.0/ ;    #白名单 172.16.0.0 ~ 172.16.255.255
192.168.0.0/ ;   #白名单 192.168.0.0 ~ 192.168.0.255

　　文件 nginx/conf/limit/limit_zone.conf

#geo [$address] $variable 
#$address变量默认 $remote_addr，如果 $address 的值不能代表一个合法的IP地址，那么nginx将使用地址“255.255.255.255”。
geo $whiteiplist  {
    default ;
    include limit/whiteip.conf;
}

map $whiteiplist  $limit {
     $binary_remote_addr;
     "";
}

limit_req_zone $limit zone=perreq:10m rate=8r/s;     #除了白名单外的IP每秒最多处理  个请求
limit_conn_zone $limit zone=perip:10m;   #limit_conn_zone和limit_req_zone指令对于键为空值的将会被忽略，从而实现对于列出来的IP不做限制

spider 限制参考

limit_req_zone  $anti_spider  zone=one:10m   rate=10r/s;
if ($http_user_agent ~* "googlebot|bingbot|Feedfetcher-Google") {
    set $anti_spider $http_user_agent;
}