如何使用 Iptables 设置对 API 的访问速率限制？

Question

如何使用 Iptables 设置对 API 的访问速率限制。尝试使用端口 80 设置限制，但我不想完全设置网络访问限制。有没有办法指定子域而不是端口。示例：将速率限制设置为 api.example.com 而不是 example.com？

如果无法按子域设置速率限制，那么在不冒阻止合法 Web 用户的风险的情况下，建议对端口 80 的访问速率限制是多少？每秒一个连接就足够了吗？

Answer 1

顾名思义，iptables 使用 IP 地址。因此，如果您的 api.example.com 解析为与 www.example.com 不同的 IP 地址，那么您可以根据这些 IP 地址进行过滤。如果它们都解析为相同的 IP 地址，则您无法单独过滤它们。

对于合法用户来说每秒一个连接仍然很低。当您下载页面时，不要忘记您还必须下载所有 .js、.css、.jpg 等文件，它们都来自同一个域。使用 Keep-Alive 可以减少连接请求的数量，但您仍然会收到来自同一用户的至少两个（可能最多六个）同时请求（取决于他们的浏览器和配置）。

如果这对您确实很重要，那么您应该为两个单独的子域设置唯一的 IP 地址并对其进行过滤。我个人认为在apache级别进行过滤比较合适。