接続数/帯域制限で無法なダウンローダを撃退実用 Apache 2.0運用・管理術(最終回)(4/4 ページ)

» 2006年02月14日 00時00分 公開
[鶴長鎮一@IT]
前のページへ 1|2|3|4       

mod_limitipconnによる接続数制限

 mod_limitipconnもまた、トラフィック制御を実現するモジュールです。こちらは単位時間当たりの接続数ではなく、単純に同時接続数で制限を行います。主な特徴は以下のとおりです。

  • /cgi-binや/imagesなど、URL単位で同時接続数の制限を設けることができる
  • 拡張子やMIMEタイプによるファイルの区別が可能
  • HTMLファイルは無制限、WMAなどの動画ファイルには制限を設けるといったことが可能
  • 制限が実施された場合、規制を受けたクライアントのアドレスをerror.logに出力できる
  • .htaccessファイルを使ってディレクトリごとに設定できる

 なお、mod_bwshareと組み合わせて利用することもできます。

mod_limitipconnのインストールと設定

 mod_limitipconnのソースは、配布元(http://dominia.org/djao/limitipconn2.html)から入手します。Apache 1.3とApache 2.0でファイルが異なるため、注意が必要です。

# wget http://dominia.org/djao/limit/mod_limitipconn-0.22.tar.gz
# tar xvfz mod_limitipconn-0.22.tar.gz
# cd mod_limitipconn-0.22

 apxsコマンドでモジュールをインストールすることもできますが、Makefileが用意されているのでmakeコマンドを利用します。まず、makeを実行する前にMakefileを以下のように修正します。

APXS=/usr/local/apache2/bin/apxs ←apxsをフルパスで指定
APACHECTL=/usr/local/apache2/bin/apachectl ←apachectlをフルパスで指定

 Makefileの修正が終わったらmake installを行い、

# make install

httpd.confファイルを編集します。

# make installで追加される
LoadModule limitipconn_module modules/mod_limitipconn.so
 
# mod_limitipconnを利用する場合は必須
ExtendedStatus On
 
# mod_limitipconnの設定
<IfModule mod_limitipconn.c>
 
    # 「/somewhere」への最大同時接続数を2に制限する。
    # ただし、MIMEタイプが「text/*」のものは制限しない
    <Location /somewhere>
        MaxConnPerIP 2
        NoIPLimit text/*
    </Location>
 
    # 「/foo」への最大同時接続数を2に制限する。ただし、
    # MIMEタイプが「audio/mpeg」「audio/wma」のものは制限する
    <Location /foo>
        MaxConnPerIP 2
        OnlyIPLimit audio/mpeg audio/wma
    </Location>
 
    # 拡張子がzip、mpeg、mpg、isoのファイルへの
    # 最大同時接続数を1に制限
    <FilesMatch "\.(zip|mp?g|iso)$">
        MaxConnPerIP 1
    </FilesMatch>
</IfModule>

 mod_limitipconnを有効にする際は、ExtendedStatusを「On」にしておく必要があります。

 mod_limitipconn自体の設定は、<IfModule mod_limitipconn.c>〜</IfModule>ディレクティブで行います。<Location /URL>〜</Location>ディレクティブを用いて制限の対象となるURLを指定し、MaxConnPerIPで最大同時接続数を指定します。「0」を指定すると同時接続数は無制限となります。

 特定のファイルのみを制限する場合はOnlyIPLimitを、特定のファイル以外を制限する場合はNoIPLimitを使い、OnlyIPLimit/NoIPLimitに続けてMIMEタイプ()を指定します。MIMEタイプをスペース区切りで複数指定したり、ワイルドカードを使うことも可能です。拡張子でファイルを区別する場合は、<Files>または<FilesMatch>ディレクティブを利用します。

注:MIMEタイプについては、mime.typesファイルを参照してください。ソースからインストールした場合は/usr/local/apache/conf、Fedora Coreの場合は/etc/にあります。


 httpd.confを修正したら、Apacheを再起動します。

# /usr/local/apache2/bin/apachectl restart

 Apacheを再起動したら、制限の効果を確認してみましょう。制限が実施された場合、以下のような通知が表示されます。同時に、サーバ側のerror.logにも記録されます。

画面7 mod_limitipconnによるクライアントへの制限通知 画面7 mod_limitipconnによるクライアントへの制限通知
[Mon Jan 30 18:29:33 2006] [error] [client 192.168.XX.19] Rejecting client at 192.168.XX.19
[Mon Jan 30 18:29:57 2006] [error] [client 192.168.XX.25] Rejecting client at 192.168.XX.25
error.log

 前述したとおり、mod_limitipconnはhttpd.confだけでなく.htaccessで設定を行うことができます。.htaccessを利用することで、サーバ管理者だけでなく一般ユーザーでも設定できます。ただし、.htaccessで<Limit>ディレクティブを指定できるようにするため、事前にhttpd.confに以下のような設定を行っておく必要があります。

<Directory /home/*/public_html> # .htaccessを設置するディレクトリを指定
    AllowOverride Limit
</Directory>

 これで.htaccessが使えるようになりました。.htaccessの記述例を以下に示します。

<Limit GET>
    <IfModule mod_limitipconn.c>
        MaxConnPerIP 2
        OnlyIPLimit image/png
    </IfModule>
</Limit>

 プロキシからのリクエストについても同様の制約がありますが、Apacheにパッチを適用することにより、プロキシ経由のリクエストについては「X-Forwarded-For」ヘッダ単位で区別することが可能となります。ソースアーカイブ中のapachesrc.diffがそのパッチです。こちらについては、INSTALLファイルを参照してください。


 これまで8回にわたり、Apache 2.0の活用方法を紹介してきました。連載の間にApache 2.2がリリースされるなど、Apacheは着実に熟成を続けています。最近何かと目にする「Web2.0」というキーワードに象徴されるように、Webに対する依存度は増すばかり。サーバ管理者に要求されるスキルも増大しています。そうした状況下、本連載が少しでも皆さんのお役に立つことを願って、本連載の結びとしたいと思います。ご愛読ありがとうございました。

前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。