https://fr-wiki.ikoula.com/index.php?action=history&feed=atom&title=Mise_en_place_de_rate-limit_sur_HaproxyMise en place de rate-limit sur Haproxy - Historique des versions2026-04-10T19:25:07ZHistorique des révisions pour cette page sur le wikiMediaWiki 1.35.3https://fr-wiki.ikoula.com/index.php?title=Mise_en_place_de_rate-limit_sur_Haproxy&diff=30568&oldid=prevMgrelet794f6 : Page créée avec « <span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_tra... »2021-06-09T09:04:00Z<p>Page créée avec « <span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_tra... »</p>
<p><b>Nouvelle page</b></p><div><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="ro"></span><span data-link_translate="pl"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><!-- Début de l'article. Placez votre texte ci-après et n'hésitez pas à personnaliser les chapitres selon votre besoin --><br />
<br />
==Introduction== <!--T:1--><br />
Nous allons voir comment mettre en place du rate-limit sur une fenêtre glissante ou fixe au niveau d'Haproxy.<br><br />
Cela peut s'avérer efficace contre les Bots ou encore les attaques de type Deny of service HTTP/HTTPS.<br />
<br />
==Déroulé== <!--T:2--><br />
Nous allons commencer par du rate-limit sur une fenêtre glissante, au niveau de notre frontend nous allons ajouter la configuration ci-dessous :<br />
<pre><br />
stick-table type ipv6 size 100k expire 5m store http_req_rate(10s)<br />
http-request track-sc0 src<br />
http-request deny deny_status 429 if { sc_http_req_rate(0) gt 100 }<br />
</pre><br />
<br />
Dans notre exemple, nous allons renvoyer un code ''429'' aux adresses IP effectuant plus de ''100'' requêtes en ''10'' secondes sur une fenêtre de ''5'' minutes.<br><br><br />
La directive ''stick-table'' crée un magasin clé-valeur pour stocker des compteurs, comme le taux de requête HTTP par client. La clé est l'adresse IP du client, telle que configurée par le paramètre type (ipv6 ne signifie pas que nous stockons que des IPv6, mais permet de stocker les IPv4 et IPv6), qui est utilisée pour stocker et agréger le nombre de demandes de ce client.<br><br><br />
La ligne ''http-request track-sc0 src'' ajoute le client en tant qu'enregistrement dans la table stick. Les compteurs commencent à être enregistrés dès que l'IP est ajoutée.<br><br><br />
Un enregistrement dans la ''sticky-table'' expire et est supprimé après une période d'inactivité par le client, tel que défini par le paramètre ''expire'' (ici 5 minutes). Sans paramètre d'expiration, les enregistrements les plus anciens sont supprimés lorsque le stockage est plein (ici, nous autorisons ''100k'' donc 100 000 enregistrements). <br><br><br />
La ligne ''http-request deny'' définit le seuil de limite et l'action à entreprendre lorsque quelqu'un le dépasse (ici, nous autorisons jusqu'à 100 demandes et en refusons d'autres avec une réponse de ''429 Too Many Requests'' jusqu'à ce que le nombre au cours des 10 dernières secondes soit à nouveau inférieur au seuil.<br><br><br />
La méthode d'extraction ''sc_http_req_rate'' renvoie le taux de requête actuel du client.<br><br><br />
<br />
Voici maintenant la mise en place de rate-limit sur une fenêtre fixe :<br />
<pre><br />
stick-table type ipv6 size 100k expire 24h store http_req_cnt<br />
http-request track-sc0 src<br />
http-request deny deny_status 429 if { sc_http_req_cnt(0) gt 1000 }<br />
</pre><br />
<br />
Dans ce cas ci, nous allons autoriser ''1000'' requêtes d'une adresse IP sur une fenêtre de ''24'' heures.<br />
Plutôt que d'utiliser le compteur ''http_req_rate'', qui remonte le taux de requêtes sur une période donnée, nous utilisons ici ''http_req_cnt'', qui lui renvoi le nombre de requêtes qui s'incrémente pour toujours jusqu'à la réinitialisation ou jusqu'à ce que l'expiration soit atteinte.<br><br><br />
La méthode d'extraction ''sc_http_req_cnt'' renvoie le nombre de requêtes actuel du client.<br><br><br />
<br />
<br />
<!--T:4--><br />
<!-- Fin de l'article --><br />
<br /><br /><br />
Cet article vous a semblé utile ? <vote /><br />
<br />
<!--T:5--><br />
<br />
<!-- Commentaire --><br />
<comments /><br />
<br />
<!-- Placez ci-dessous la ou les catégories auxquelles se rapporte votre article. Ex: [[Catégorie:Contribuer]] [[Catégorie:Linux]] --><br />
[[Catégorie:Linux]]<br />
[[Catégorie:Haproxy]]</div>Mgrelet794f6