个人中心
gpt4 book ai didi

Nginx 检查 Cloudflare 是否转发或直接 IP 并相应限制

转载 作者:行者123 更新时间:2023-12-03 20:00:54 24 4
gpt4 key购买 nike

我知道标题 CF-Connecting-IP , $binary_remote_addr , http_x_forwarded_for我想做一个设置:

limit_req_zone $http_x_forwarded_for zone=k_request_limit_per_ip:10m rate=400r/s;
limit_conn_zone $http_x_forwarded_for zone=k_connection_limit_per_ip:10m;

但是 Cloudflare 并不是唯一要访问这台机器的地方,所以我也想限制直接访问。
有没有办法写出类似的东西: 
if(header == `X-Forwarded-For`) {
  limit_req_zone $http_x_forwarded_for zone=k_request_limit_per_ip:10m rate=400r/s;
} else {
  limit_req_zone $binary_remote_addr zone=k_request_limit_per_ip:10m rate=400r/s;
}
或者像这样的工作: 
  limit_req_zone $http_x_forwarded_for zone=http_zone:10m rate=400r/s;
  limit_req_zone $binary_remote_addr zone=binary_zone:10m rate=400r/s;
另一种方法是完全允许所有 Cloudflare IP 地址。并限制非 Cloudflare IP 地址。
好的来源:
  • NGINX rate limiting doesn't work when using Cloudflare. I can bring down my site with a simple `ab` command

    • 最佳答案

    您可以使用 ngx_real_ip_module。
    http://nginx.org/en/docs/http/ngx_http_realip_module.html
    有了这个,您可以指定允许覆盖 binary_remote_addr 的 Cloudflare CIDR。来自 X-Forwarded-For 的值.确保你有这个检查。配置可能如下所示:

    set_real_ip_from 173.245.48.0/20;
    set_real_ip_from 103.21.244.0/22;
    set_real_ip_from 103.22.200.0/22;
    set_real_ip_from 103.31.4.0/22;
    set_real_ip_from 141.101.64.0/18;
    set_real_ip_from 108.162.192.0/18;
    set_real_ip_from 190.93.240.0/20;
    set_real_ip_from 188.114.96.0/20;
    set_real_ip_from 197.234.240.0/22;
    set_real_ip_from 198.41.128.0/17;
    set_real_ip_from 162.158.0.0/15;
    set_real_ip_from 104.16.0.0/12;
    set_real_ip_from 172.64.0.0/13;
    set_real_ip_from 131.0.72.0/22;
    set_real_ip_from 2400:cb00::/32;
    set_real_ip_from 2606:4700::/32;
    set_real_ip_from 2803:f800::/32;
    set_real_ip_from 2405:b500::/32;
    set_real_ip_from 2405:8100::/32;
    set_real_ip_from 2a06:98c0::/29;
    set_real_ip_from 2c0f:f248::/32;
    real_ip_header X-Forwarded-For;
    real_ip_recursive off;
    Cloudflare IP 可以更改,此命令会自动将它们更新为 cloudflare_ips.conf : 
    cat /dev/null > cloudflare_ips.conf && curl -s https://www.cloudflare.com/ips-v4 | while read ip; do echo "set_real_ip_from $ip;" >> cloudflare_ips.conf; done && curl -s https://www.cloudflare.com/ips-v6 | while read ip; do echo "set_real_ip_from $ip;" >> cloudflare_ips.conf; done && printf "real_ip_header X-Forwarded-For;\nreal_ip_recursive off;\n" >> cloudflare_ips.conf
    您的速率限制配置可以使用 binary_remote_addr多变的。如果客户端来自 cloudflare,则 CFs IP 将替换为来自 Header 的 IP。如果客户端直接连接,将使用客户端 IP。如果客户端尝试发送 X-Forwarded-For header 将不被接受,因为客户端 IP 与您的 cloudflare_ips.conf 中的任何 CIDR 不匹配|文件。

    关于Nginx 检查 Cloudflare 是否转发或直接 IP 并相应限制,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66692200/

    24 4 0
    文章推荐: sql - 结合 2 个复杂的查询
    文章推荐: java - 你能在功能测试中得到验证错误吗
    文章推荐: r - 是否可以在 R(基础图形)中旋转绘图?
    文章推荐: python - 如何根据数组索引从 Pandas 组内的相对索引中选择值
    行者123
    个人简介

    我是一名优秀的程序员,十分优秀!

    滴滴打车优惠券免费领取
    滴滴打车优惠券
    全站热门文章
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com