Я настроил mod_evasive и mod_remoteip для изменения заголовков прокси с балансировщика нагрузки на фактический IP-адрес клиента.
Но у меня возникают проблемы при использовании уклончивого мода. на данный момент моя конфигурация для уклонения от модов:
DOSHashTableSize 3097
DOSPageCount 1
DOSSiteCount 2
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 100
Насколько я понимаю, приведенная выше конфигурация разрешает не более 1 запроса на страницу в секунду или не более 2 страниц в любом месте веб-сайта в секунду.
Однако проблема в том, что IP-адрес балансировщика нагрузки не статичен, и поэтому, когда он пытается выполнить проверку работоспособности, уклонение от мода блокирует балансировщик нагрузки. Это приводит к тому, что ELB думает, что экземпляр ec2 неисправен.
Что мне делать, чтобы предотвратить эту проблему? Можно ли занести IP-адреса в белый список по имени DNS? Мое имя ELB DNS:
something-experimental-lb-123411.ap-northeast-1.elb.amazonaws.com Если нет, то какие еще варианты у меня есть?
Способ, которым я (думаю) решил это, - создать обратный прокси-сервер, который выполняет межсетевой экран и предварительную фильтрацию (iptables, ipset & mod_evasive), а затем указывает на внутренний балансировщик нагрузки, который фактически обслуживает контент. Если вы собираетесь использовать это решение, обязательно проверьте прокси-сервер на предмет общего количества запросов, которые вы ожидаете обслужить.