Nginx + ModSecurity + Fail2ban + Docker => 4. Nginx Limit req 설정

🍺 목차 🍺(보시려면 아래 더보기 를 눌러주세요.)

1. Nginx + ModSecurity + Fail2ban + Docker => 1. 취약한 웹사이트

2. Nginx + ModSecurity + Fail2ban + Docker => 2. ModSecurity + Fail2ban 설치

3. Nginx + ModSecurity + Fail2ban + Docker => 3. Fail2ban 설정 방법

4. Nginx + ModSecurity + Fail2ban + Docker => 4. Nginx Limit req 설정

5. Nginx + ModSecurity + Fail2ban + Docker => 5. Dockerhub 이미지 사용

---

 

앞 글에서는 fail2ban 으로 과도한 요청을 하는 아이피를 차단하였습니다.

이번에는 Nginx 자체에서 과도한 request에  제한을 둘 수 있는 방법도 살펴봅니다.

 

1. nginx.conf 수정

docker/front/nginx.conf 파일에서 http 블럭 안에 아래와 같이 한 줄을 입력해 줍니다.

limit_req_zone $binary_remote_addr zone=hello:10m rate=1r/s;

✅ binary_remote_addr   =>  클라이언트의 IP를 기준으로 제한하겠다는 의미

✅ zone=hello:10m   =>   hello라는 이름을 가진 10메가짜리 용량의 메모리 공간 확보 (zone 이름은 맘대로 지을 수 있음.)

✅ rate : 1 r/s   => 1 request / second 의 의미로 1초에 1개의 request만을 허용한다는 뜻 (예시로 1초당 1개를 설정하였지만, 실재 운영시에는 원할한 서비스를 위해 10r/s 등으로 해주어야 합니다.)

 

2. default.conf 수정

1) docker/front/default.conf 파일에서 server 블럭 안의 location 블럭 안에 아래와 같이 입력해 줍니다.

limit_req zone=hello burst=5 nodelay;

✅ zone=hello   =>  nginx.conf 에서 지정한 zone 이름과 동일하게 입력함.

✅ burst=5   =>  5개의 요청까지는 임시 큐에 저장을 해둔 후 순차적으로 통과를 시킨다는 뜻입니다. 앞nginx.conf에서 rate=1r/s 라고 하였기에, 만약 1초에 10개의 request가 들어온다면, 하나는 바로 통과시키고, 2~6번째 요청은 큐에 저장 후 순차적으로 통과시킵니다. 7~10번째 요청은 바로 무시되어 503 오류가 뜨게 됩니다.

✅ nodelay   =>   이 명령을 넣지 않으면 바로 위 burst 설명처럼 1초마다 순차적으로 통과시켜 6번째 요청은 5초 후에 실행이 되기에 서비스가 너무 느린 것처럼 느끼게 됩니다. 따라서, nodelay 설정을 추천하며, 큐에 들어있는 요청에 대해 시간 간격을 두지 않고 지연없이 바로 처리해 버립니다.

 

2) 오류 페이지 변경 (503 -> 429 로 변경)

limit_req_status 429;

 

3. log 확인

1) error.log 를 살펴보면 아래와 같이 제한을 초과한 request들은 에러 로그에 표시됩니다.

 

2) fail2ban.log 를 보면 [nginx-req-limit] 규칙이 보입니다.

 

4. jail.conf 

 docker/fail2ban/jail.conf 파일을 열어보면 [nginx-req-limit] 부분이 있습니다. 여길 보면 error.log를 감시하고 있으며, 필요한 경우 findtime, bantime, maxretry 값을 수정해서 사용하시면 됩니다. 

 

---

🍺🍺 작업한 모든 소스는 아래 링크에서 확인하실 수 있습니다. 🍺🍺

https://github.com/mmssem/ModSecurityFail2ban/releases/tag/최종파일

Release 최종파일 · mmssem/ModSecurityFail2ban

---