1.設置目錄白名單:對指定請求路徑不設置限制,如對請求路徑爲api目錄下的請求不做限制,則可寫爲
server{
location /app {
proxy_pass http://192.168.1.111:8095/app;
limit_conn conn 20;
limit_rate 500k;
limit_req zone=foo burst=5 nodelay;
}
location /app/api {
proxy_pass http://192.168.1.111:8095/app/api
}
}
# 因nginx會優先進行精準匹配,所以以上寫法即接觸了對api目錄下屬路徑的限制
2.設置ip白名單,需用到nginx geo 與 nginx map
在沒有人爲刪除的情況下(--without-http_geo_module或--without-http_map_module),nginx默認加載了ngx-http-geo-module和ngx-http-map-module相關內容;
ngx-http-geo-module可以用來創建變量,變量值依賴於客戶端 ip 地址;
ngx-http-map-module可以基於其他變量及變量值進行變量創建,其允許分類,或者映射多個變量到不同值並存儲在一個變量中;Nginx geo 格式說明
Syntax ( 語法格式 ): geo [$address] $variable { ... }
Default ( 默認 ): -
Content ( 配置段位 ): http
Nginx map 格式說明
Syntax ( 語法格式 ): map String $variable { ... }
Default ( 默認 ):-
Content ( 配置段位 ): http
白名單配置示例
http{
# ... 其他配置內容
#定義白名單ip列表變量
geo $whiteiplist {
default 1 ;
127.0.0.1/32 0;
64.223.160.0/19 0;
}
#使用map指令映射將白名單列表中客戶端請求ip爲空串
map $whiteiplist $limit{
1 $binary_remote_addr ;
0 "";
}
#配置請求限制內容
limit_conn_zone $limit zone=conn:10m;
limit_req_zone $limit zone=allips:10m rate=20r/s;
server{
location /yourApplicationName {
proxy_pass http://192.168.1.111:8095/app;
limit_conn conn 50;
limit_rate 500k;
limit_req zone=allips burst=5 nodelay;
}
}
}
白名單配置可用於對合作客戶,搜索引擎等請求過濾限制
#(特殊情況處理)
#如果想僅限制指定的請求,如:只限制Post請求,則:
http{
# 其他請求..
#請求地址map映射
map $request_method $limit {
default "";
POST $binary_remote_addr;
}
#限制定義
limit_req_zone $limit zone=reqlimit:20m rate=10r/s;
server{
... #與普通限制一致
}
}
#在此基礎上,想進行指定方法的白名單限制處理,則:
http{
#...
#定義白名單列表
map $whiteiplist $limitips{
1 $binary_remote_addr;
0 "";
}
#基於白名單列表,定義指定方法請求限制
map $request_method $limit {
default "";
# POST $binary_remote_addr;
POST $limitips;
}
#對請求進行引用
limit_req_zone $limit zone=reqlimit:20m rate=10r/s;
#在server中進行引用
server{
#... 與普通限制相同
}
}
