AWS Load Balancer с mod_evasive apache
Я настроил mod_evasive и mod_remoteip для изменения заголовков прокси с балансировщика нагрузки на фактический IP клиента.
Но у меня возникают проблемы при использовании уклонения от мода.
Я настроил mod_evasive и mod_remoteip для изменения заголовков прокси с балансировщика нагрузки на фактический IP-адрес клиента.
Но у меня возникают проблемы при использовании уклонения от мода.
Я настроил mod_evasive и mod_remoteip, чтобы изменить заголовки прокси с балансировщика нагрузки на реальный IP-адрес клиента.
Но у меня возникают проблемы при использовании уклонения от мода. на данный момент моя конфигурация для уклонения от модов:
DOSHashTableSize 3097
DOSPageCount 1
DOSSiteCount 2
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 100
Насколько я понимаю, приведенная выше конфигурация разрешает максимум 1 запрос к странице в секунду или максимум 2 страницы в любом месте сайта в секунду.
Однако проблема в том, что IP-адрес балансировщика нагрузки не статичен, и поэтому, когда он пытается выполнить проверку работоспособности, уклонение от мода блокирует балансировщик нагрузки. Это приводит к тому, что ELB думает, что экземпляр ec2 неисправен.
Что мне делать, чтобы предотвратить эту проблему? Можно ли занести в белый список IP-адреса по имени DNS? Мое DNS-имя для ELB:
something-experimental-lb-123411.ap-northeast-1.elb.amazonaws.com Если нет, то какие еще варианты у меня есть?
Я (думаю) решил эту проблему, создав обратный прокси-сервер, который выполняет брандмауэр и предварительную фильтрацию (iptables, ipset & mod_evasive), а затем укажите это на внутренний балансировщик нагрузки, который фактически обслуживает контент. Если вы собираетесь использовать это решение, обязательно проверьте прокси-сервер на предмет общего количества запросов, которые вы ожидаете обслужить.