Как при limit_req_zone игнорировать IP?

Ну и наверное для ботов лучше сделать так
Вместо

"~^1:en"        "0";
"~^1:ru"         "0";

Прописать так
"~^1:*" "0";

Как при limit_req_zone игнорировать IP?

dodo512, Подскажи пожалуйста со следующим, я тут так подумал, у меня ЦА это русские, так же мне хочется чтобы под лимитку не попадали боты гугла и яндекса, а весь остальной шпрот пусть висит в очередях если достигнут лимит.
Правильно ли я написал

map $http_user_agent $is_search_bot {
        default    0;
        ~*(YandexBot|YandexMobileBot|Googlebot|GoogleOther|YandexMetrika|YandexAccessibilityBot|YandexRenderResourcesBot)    1;
    }

    # Разрешенные языки браузера, которые не должны ограничиваться в req_limit_zone.
    map $is_search_bot:$http_accept_language $access_locale_browser {
        # По умолчанию под req_limir_zone подпадают все
        default         "1";   
        # Если это разрешенные боты Google и Yandex
        "~^1:en"        "0";
        "~^1:ru"        "0";
        # Если в браузере установлен русский язык           
        "~^0:ru"        "0";
    }

Как при limit_req_zone игнорировать IP?

dodo512, я тогда видимо не понимаю как все работает.
Думал в $http_accept_language ищется присутствие zh в строке.
Получается что при вашем выражении "~^0:zh", zh будет искаться по всей строке к примеру en-US,zh;q=0.5 и при таком найдется она?
А при таком~^zh:0 только если она вначале zh-**,en;q=0.5

Как при limit_req_zone игнорировать IP?

dodo512, Чет я туплю, ведь мне нужно узнать гугл бота, а его лучше всего по user-agent дернуть.
Получается как то так

map $http_user_agent $is_search_bot {
        default    0;
        ~*(Googlebot|GoogleOther)    1;
    }

    map $http_accept_language:$is_search_bot $locale_bad_country {
        default         "";
        "~^zh:0"        "1";
        "~^en:0"        "1";
    }

Должно работать правильно по идеи =)

Почему вываливается предупреждение nginx: [warn] "ssl_stapling"?

А я уже весь инет перерыл в чем проблема, оказывается не там искал))

Почему вываливается предупреждение nginx: [warn] "ssl_stapling"?

И чего делать теперь? =)
ssl_stapling в off перевести?
Какие последствия от этого действия ожидать?

Почему вываливается предупреждение nginx: [warn] "ssl_stapling"?

Он добавлен, забыл его в топик добавить

resolver 127.0.0.1 8.8.8.8 valid=300s;
    resolver_timeout 10s;

Как при limit_req_zone игнорировать IP?

dodo512, по вашему получается так

map $http_accept_language $locale_bad_country {
        default "";
        "~^zh"  "1";
        "~^en"  "1";
    }

map $locale_bad_country:$binary_remote_addr $locale_bad_country {
        "1:66.249.70.*"  "";
    }

Google и Yandex не индексирует мой сайт на нескольких языках, почему?

Denis, я тебе так скажу, у меня именно с гуглом такая же петрушка и все это на протяжении примерно 7-8 лет. Ничего не помогает, пробовал всё, это тупо какой то скрытый фильтр от гугла. В Яндексе сайт в ТОПах, очень давно, поведенческие очень хорошие.
На фрилансе заказывал аудит у ТОП1 сеошника, прослезился над его компетентностью, такой аудит я заказывал лет так 5 назад у какого то бедолаги с форума за 500 рублей, и то, у него было более приближенно к реальности описано, ну хоть какие то дельные советы проскальзывали. Собственно, по итогу, рекомендации сеошников не помогли. Все разводят руками, от всех только и слышно, покупайте ссылки дорогие, может быть и поможет, а может и нет. Никто тебе не скажет в чем дело, потому что никто не знает и знать не может, все будут только лишь гадать и параллельно брать с тебя деньги.

Вся суть сеошников на сегодня сводится к двум вещам:
1. Хочешь ТОПов в Яндекса - будем крутить поведенческие
2. Хочешь ТОПов в Гугле - будет закупаться ссылками

Это всё, к сожалению, и никто тебе ничего другого на этом рынке не предложит по факту.
Когда сольешь десятки тысяч рубасов на выяснение проблемы, тогда поймешь о чем я пишу.

В общем, хочешь с гугла трафик, покупай ссылки с трастовых сайтов, ну по сути спамом занимайся (с точки зрения поисковых систем). Может быть и поможет. Как по мне, оно того не стоит, с Яндекса 20-25к, с гугла 1.5к, пускай в гугле конкуренты ссылочные сидят с 1 просмотров на юзера, а я с 12 просмотрами в ТОПах Яндекса посижу спокойно.

Как лимитировать трафик с определенной страны в Nginx?

Я банил и сети китайские, ддосят с других, так что не думаю что может. А вот ограничивать доступ по языковой версии, это похоже работает, по крайней мере уже фильтровало один раз и все хорошо, но пока не ясно что и как будет. Может начнет ддосить более агрессивно и тупо забьет сервер запросами, nginx все таки не nft, бан есть бан. Ну хоть в логах айпишники вываливаются с ошибками лимита и можно их кучей банить, тем более что у меня ip дергаются с логов и пишутся в базу для последующего бана.

Как лимитировать трафик с определенной страны в Nginx?

dodo512, Все правильно, мне так и нужно было, просто нужно увеличить число запросов. Спасибо!

Как лимитировать трафик с определенной страны в Nginx?

А прописан $binary_remote_addr чисто для того чтобы что то находилось в переменной $bad_locale, по сути можно и "1" прописать, суть же не изменится?

Как лимитировать трафик с определенной страны в Nginx?

В http блоке с помощью map я могу отловить локаль пользователя, в том же url $request_uri или по аргументу

map $arg_locale $bad_locale {
    default "0";
    "zh"  "1";
}

Но надо как то и limit_zone создать для всех запросов и потом уже пробовать проверять, как то так
Но не думаю что будет работать это=)

location / {
    limit_req zone=auth burst=60 delay=35;
    if($bad_locale === 1) {
        limit_req zone=zh_limit burst=20 delay=10;
    }
}

Как лимитировать трафик с определенной страны в Nginx?

Alexey Dmitriev, в том то и дело, ддос он идет минут 15-20, и если в это время у нормальных китайцев возникнут проблем в лимите доступа, ну и ничего страшного, а вот ддосер будет свои ресурсы в труху пускать.

Как выйти из tty?

В общем я че то напортачил и всего скорее systemd.unit=graphical.target должно работать, потому как у меня и по другому тоже зависает все на заставке, пришлось снести и поставить все заново, пол дня и так в труху и мучится дальше не стал.
Еще как вариант можно сделать так:
В том же GRUB пишем
init=/bin/bash
Редактируем файл
nano /etc/default/keyboard
Вместо
XKBLAYOUT="ru"
прописываем
XKBLAYOUT="us"

Сохраняем и перезагружаемся, тогда все хорошо и можно авторизироваться.
После авторизации вводим уже
systemctl set-default graphical.target

Повторюсь, я чет накосячил когда пытался править файлы в ручную и поэтому видимо зависон у меня происходил.

Как выйти из tty?

Попробывал через grub, зависает все на заставке debian 12 и ничего не происходит(

Как поправить правила nftables при syn flood атаке?

alkeksy, ну печально значит это, но я посматриваю в сторону ddos-guard, в случае чего туда перенесу все.

Как поправить правила nftables при syn flood атаке?

Евгений Хлебников, пользовался им, были проблемы другие =) Да и не хочу чем то зарубежных пользоваться, к тому же с оплатой проблемы в случае чего.

Как поправить правила nftables при syn flood атаке?

alkeksy, у меня уже были мысли перенести все на ddos-guard, но цены кусаются, если начнется что то более жесткое приходить, вот тогда и попробую перебраться к ним и посмотреть что да как.

Как поправить правила nftables при syn flood атаке?

alkeksy, это reg.ru, я думаю они фильтруют но не сразу, так как сервер успевают забить, а дальше отпускает, атака по продолжительности не длительная, 1-2 минуту, дальше видимо фильтровать начинают. Спустя промежуток времени все повторяется, такие атаки бывало 10 раз на дню.
Прям чтобы критичного ничего нет, но тем не менее сервер колом встает и это не хорошо.