登录
首页 >  文章 >  php教程

宝塔面板IP并发限制设置教程

时间:2026-04-25 14:27:45 313浏览 收藏

本文详解了在宝塔面板中启用并正确配置Nginx连接限制模块(http_limit_conn_module)的完整流程,包括如何检测模块缺失、通过编译安装补全功能、在全局http块中安全添加limit_conn_zone指令、在站点配置中精准部署limit_conn规则,同时深入剖析了其在防御CC攻击中的局限性——仅限制并发连接数而无法拦截短连接型攻击,并给出更有效的组合方案:搭配limit_req实现请求速率控制、启用宝塔防火墙CC防护、针对关键接口精细化限流,还特别提醒了CDN环境下real_ip配置缺失和zone内存不足两大高发陷阱,帮助运维人员避开常见坑点,构建真正可靠的访问控制防线。

怎么通过宝塔面板限制网站单个来源IP的最大并发连接_使用limit_conn_zone限流模块防范轻度CC攻击

宝塔面板里怎么配 limit_conn_zone

宝塔默认不开启 Nginx 的连接限制模块,即使你写了配置,limit_conn_zone 指令也会报错:unknown directive "limit_conn_zone"。这是因为宝塔编译 Nginx 时没带上 --with-http_limit_conn_module。得先确认模块是否存在,再手动启用。

进服务器执行:

nginx -V 2>&1 | grep -o with-http_limit_conn_module
,如果没输出,说明模块缺失。此时不能只改配置文件,必须重装带该模块的 Nginx——推荐用宝塔「软件商店 → Nginx → 设置 → 编译安装」,勾选「连接数限制模块」(部分版本叫“Limit Conn”),然后重新编译。编译耗时较长,期间网站会短暂中断。

在宝塔站点配置中添加 limit_conn_zonelimit_conn

模块就位后,不能直接在宝塔的「网站 → 配置文件」里写 limit_conn_zone,它必须出现在 http 块顶层,而宝塔的站点配置只允许改 serverlocation 块。正确做法是:进入「宝塔 → 软件商店 → Nginx → 设置 → 配置修改」,找到 http 区域,在 include 语句之前加入:

limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_log_level warn;

然后回到具体站点的配置文件(「网站 → 设置 → 配置文件」),在 server 块或某个 location 块里加限流规则,例如:

location / {
    limit_conn perip 10;
    limit_conn_status 503;
    proxy_pass http://127.0.0.1:8080;
}
  • perip 是你在 http 块定义的 zone 名,必须一致
  • 10 表示单个 IP 最多维持 10 个并发连接(不是请求数)
  • limit_conn_status 503 让被限流的请求返回 503 而非默认的 503+日志刷屏
  • 别对静态资源(如 /static/)盲目限流,否则可能阻塞 JS/CSS 加载,引发页面白屏

为什么限制了还挡不住 CC 攻击?

limit_conn 只管 TCP 连接数,不区分请求内容、路径或 User-Agent。轻度 CC 攻击常通过短连接(每个请求建新连接、立刻断开)绕过它——因为连接刚建就关,根本压不到 10 个并发。这时候 limit_conn 几乎无效。

更实用的组合策略是:

  • limit_req_zone $binary_remote_addr zone=burst:10m rate=5r/s; + limit_req burst=10 nodelay; 控制请求速率(每秒最多 5 个,允许突发 10 个)
  • 配合宝塔自带的「防火墙 → CC 防御」,设置「同一 IP 访问频率」(比如 3 秒内超 10 次就封 600 秒)
  • 把高频接口(如登录、搜索)单独放到 location /api/ 下,施加更严的 limit_req
  • 注意:Nginx 的 limit_req 对 POST 请求默认不生效,需加 limit_req_dry_run off; 并确保没有 if 块干扰

容易被忽略的两个坑

一是 $binary_remote_addr 在有 CDN 或反向代理时拿到的是代理 IP,不是真实访客 IP。如果你用了 Cloudflare 或自建 Nginx 反代,必须先在 http 块加:

set_real_ip_from 127.0.0.1;
real_ip_header X-Forwarded-For;
real_ip_recursive on;
,否则所有用户会被当成同一个 IP 限流。

二是内存占用。一个 zone=perip:10m 理论上能存约 16 万个 IP(每个 IP 约 64 字节),但实际受哈希冲突影响,10m zone 在高并发下可能撑不住。观察 Nginx 错误日志里是否有 limit_conn: server reached max number of connections,如有,说明 zone 太小,要调大到 20m 或更高。

到这里,我们也就讲完了《宝塔面板IP并发限制设置教程》的内容了。个人认为,基础知识的学习和巩固,是为了更好的将其运用到项目中,欢迎关注golang学习网公众号,带你了解更多关于的知识点!

资料下载
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>