NGINX — как составить большой black-лист?

Question

[Дмитрий]

Здравствуйте. Обнаружил на одном из проектов неприятные моменты, и необходимо блокировать явных нарушителей. Дело в том, что IP могут добавлять по мере блокирования. Как будет себя вести map с, например, 20-ю айпишниками? Или есть более изящное решение? Спасибо.

Comments

[Алексей]

Может быть рассмотреть вариант блокирования через iptables/fail2ban и не нагружать nginx этой работой.

[Дмитрий]

Алексей: как вариант, спасибо)

[Lynn «Кофеман»]

+1 к специализированным решениям.

Но вообще говоря, 20 элементов в map это смешная нагрузка.

Answer 1

[Влад Животнев]

65к элементов в geomap - фигня.

Где-то на 100к стоит уже подумать, что вы делаете не так.

Comments

[Дмитрий]

Влад Животнев Влад, не geomap, а просто массив map (ngx_http_map_module)

[Влад Животнев]

Дмитрий: nginx.org/ru/docs/http/ngx_http_geo_module.html

http_map тут не нужен, да и внутри там то же самое.
С мапом единственная разница - там есть регулярки, они могут притормозить всё это дело.

[Дмитрий]

Влад Животнев: deny не подойдёт, так как мне нужно из нестандартного заголовка брать ip. pastebin.com/rr3t9gUX тут же не регулярка, будет нормально? Или же, как советовали ребята в комментах, обратиться к fail2ban и отдать ему лист с этими ip?

[Влад Животнев]

Дмитрий: прочти по ссылке, а?

"Описывает для указанной переменной зависимость значения от IP-адреса клиента. По умолчанию адрес берётся из переменной $remote_addr, но его также можно получить из другой переменной (0.7.27), например:"

Для работы с массиввами адресов в nginx используй geo, это быстро. Точка.

[Дмитрий]

Влад Животнев: спасибо что ткнул, не понял сначала мысль