Подытожу все, что удалось собрать исходя из скудных знаний qna и крупиц информации, найденной на ноунейм форумах и у индусов.
Для начала нужно прокинуть настоящий ipшник юзеров через cloudflare. Как правильно подметил главный грубиян сего форума делается это при помощи
set_real_ip_from
. Далее предлагает записать все диапазоны адресов. Что мне делать конечно же не захотелось, т.к. засерать конфиг не хочется особо. В итоге прописал вот это
set_real_ip_from 0.0.0.0/0;
real_ip_header CF-Connecting-IP;
Это помогло пробросить адреса юзеров через cloudflare. Теперь в конфигах светятся настоящие ip клиентов.
Далее я в nginx.conf создал зону ограничения кол-ва запросов.
вот так:
limit_req_zone $http_cf_connecting_ip zone=lr_zone:10m rate=10r/s;
Это ограничит число запросов до 10 в секунду. Можно уменьшить, можно увеличить. Мне все равно, т.к. использую ограничение только при обращении к бекэнду (api).
Вот как это задействовать. В конфиге виртуального хоста, где нужно ограничить кол-во запросов делаем так:
limit_req zone=lr_zone;
Это включит зону ограничений, которую мы создали в конфиге nginx.
Далее я попробовал юзать fail2ban, что показалось мне излишним, ибо как-то он баговано работает. Мне короче не подошло. Да, там есть action для cloudflare и фильтр для limit_req от nginx. Но не совсем то, что надо.
В итоге мною был написан небольшой скриптик на python, который глядит в error log и высматривает там 429 ошибки. Собирает адреса и блочит при помощи api cloudflare.
Заблоченный юзер видит просто заглушку от cloudflare, которая уведомляет его о блокировке по ip.