Я узнал, что если у меня есть постоянное правило перенаправления http / https (возвращать 301 на http и указывать на https), ограничитель скорости не применяется при запросе HTTP-сервера.
Причина в том, что правило перезаписи оценивается до кода ограничителя скорости: https://trac.nginx.org/nginx/ticket/1834.
Следовательно, похоже, что злоумышленник может массово затопить http-сервер, который будет отвечать кодом 301 на каждый запрос, ответ ограничения скорости nginx не будет применяться, и конкретное ведение журнала для ограничителя скорости (и, следовательно, любого связанного фильтра fail2ban ) не будет эффективным.
Итак, вопрос: является ли это серьезным риском, может ли злоумышленник перегрузить сервер, затопив http-сервер (из-за неограниченного количества ответов 301)?
Один из способов, которым я подумал о смягчении этого, - установить тело ответа 301 в пустой файл (0 битов), используя этот "хакерский" подход.
Есть мысли более опытных людей в этой области?