Home > Apacheについて | Linux | 研究について > What is mod_vlimit. “limit the number of simultaneous connections”

What is mod_vlimit. “limit the number of simultaneous connections”


Preface

This is the distribution page for the Apache module mod_vlimit.

mod_vlimit allows “Apache HTTP Server” administrators to limit the number of  simultaneous connections(exec cgi php)  from the same IP address or all to any files.

If client accessese are over the limit connections, mod_vlimit return 503 error message to the client.


mod_vlimit is for Apache 2.x.
If you use “VirtuaHost”, This is OK.
mod_vlimit is approved Apache module by “Apache Module Registry“.

 

Downloads

mod_vlimit is approved Apaceh module by ”Apache Module Registry“.

You can search or browse on ”Apache Module Registry“, if you’d like to get the information for mod_vlimit.

Install

On systems that support Apache dynamic shared objects (DSOs), the recommend installation procedure using apxs is:

apxs -i -c mod_vlimit.c

and configured httpd.conf:

LoadModule vlimit_module modules/mod_vlimit.so

 

How to use

limit the number of simultaneous connections per IP address

  • set limits to 5 simultaneous connections(cgi php exec) per IP address to the directory(/www/hoge/fuga/)
<Directory "/www/hoge/fuga/">
    VlimitIP 5
</Directory>
  • set limits to 3 simultaneous connections(cgi php exec) per IP address to files(test.cgi)
<Files "test.cgi">
    VlimitIP 3
</Files>
  • set limits to 4 simultaneous connections(cgi php exec) per IP address to some files(a.cgi b.cgi c.cgi d.cgi …)
<FilesMatch "^*¥.cgi$">
    VlimitIP 4
</FilesMatch>

is equal to:

<Files "a.cgi">
    VlimitIP 4
</Files>
<Files "b.cgi">
    VlimitIP 4
</Files>
<Files "c.cgi">
    VlimitIP 4
</Files>
<Files "d.cgi">
    VlimitIP 4
</Files>
.
.
.
.
  • set limits to 1 simultaneous connections(cgi php exec) per IP address to the symlink file(/usr/local/test-cgi/test.cgi -> /var/www/html/test.cgi)
<Files "test.cgi">
    VlimitIP 1 /var/www/html/test.cgi
</Files>

 

limit the number of simultaneous connections per File or Directory

  • set limits to 7 simultaneous connections(exec cgi php) to the directory(/www/hoge/fuga/)
<Directory "/www/hoge/fuga/">
    VlimitFile 7
</Directory>
  • set limits to 2 simultaneous connections(exec cgi php) to files(test.cgi)
<Files "test.cgi">
    VlimitFile 2
</Files>
  • set limits to 5 simultaneous connections(exec cgi php exec) to some files(a.cgi b.cgi c.cgi d.cgi …)
<FilesMatch "^*¥.cgi$">
    VlimitFile 4
</FilesMatch>

is equal to:

<Files "a.cgi">
    VlimitFile 4
</Files>
<Files "b.cgi">
    VlimitFile 4
</Files>
<Files "c.cgi">
    VlimitFile 4
</Files>
<Files "d.cgi">
    VlimitFile 4
</Files>
.
.
.
.
  • set limits to 1 simultaneous connections(exec cgi php) to the symlink file(/usr/local/test-cgi/test.cgi -> /var/www/html/test.cgi)
<Files "test.cgi">
    VlimitFile 1 /var/www/html/test.cgi
</Files>

 

logging

mod_vlimit can output some logs. Basically, mod_vlimit don’t output logs but if you “touch” the flag file associated with the log you want, mod_vlimit will output the log.

  • Check debug log
touch /tmp/VLIMIT_DEBUG
less /var/log/syslog
  • Stop debug log
rm /tmp/VLIMIT_DEBUG
  • Check m0dule access log
touch /tmp/VLIMIT_LOG
less /tmp/mod_vlimit.log
  • Stop module access log
rm /tmp/VLIMIT_LOG
  • module access log sample
[Fri Mar 11 11:54:48 2011] pid=[28734] name=[172.16.71.46] client=[172.16.71.46] RESULT:  OK INC ip_count: 1/5 file_count: 0/0 file=[/var/www/html/32.php]
[Fri Mar 11 11:54:48 2011] pid=[28734] name=[172.16.71.46] client=[172.16.71.46] RESULT: END DEC ip_count: 0/5 file_count: 0/0 file=[/var/www/html/32.php]
[Fri Mar 11 11:54:48 2011] pid=[28648] name=[172.16.71.46] client=[172.16.71.46] RESULT:  OK INC ip_count: 1/5 file_count: 0/0 file=[/var/www/html/33.php]
[Fri Mar 11 11:54:48 2011] pid=[28580] name=[172.16.71.46] client=[172.16.71.46] RESULT:  OK INC ip_count: 2/5 file_count: 0/0 file=[/var/www/html/33.php]
[Fri Mar 11 11:54:48 2011] pid=[28402] name=[172.16.71.46] client=[172.16.71.46] RESULT:  OK INC ip_count: 3/5 file_count: 0/0 file=[/var/www/html/33.php]
[Fri Mar 11 11:54:48 2011] pid=[28532] name=[172.16.71.46] client=[172.16.71.46] RESULT:  OK INC ip_count: 4/5 file_count: 0/0 file=[/var/www/html/33.php]
[Fri Mar 11 11:54:48 2011] pid=[28648] name=[172.16.71.46] client=[172.16.71.46] RESULT: END DEC ip_count: 3/5 file_count: 0/0 file=[/var/www/html/33.php]
[Fri Mar 11 11:54:48 2011] pid=[28776] name=[172.16.71.46] client=[172.16.71.46] RESULT:  OK INC ip_count: 4/5 file_count: 0/0 file=[/var/www/html/33.php]
[Fri Mar 11 11:54:48 2011] pid=[28653] name=[172.16.71.46] client=[172.16.71.46] RESULT:  OK INC ip_count: 5/5 file_count: 0/0 file=[/var/www/html/34.php]
[Fri Mar 11 11:54:48 2011] pid=[28764] name=[172.16.71.46] client=[172.16.71.46] RESULT: 503 INC ip_count: 6/5 file_count: 0/0 file=[/var/www/html/34.php]
[Fri Mar 11 11:54:48 2011] pid=[28544] name=[172.16.71.46] client=[172.16.71.46] RESULT: 503 INC ip_count: 7/5 file_count: 0/0 file=[/var/www/html/34.php]
[Fri Mar 11 11:54:48 2011] pid=[28557] name=[172.16.71.46] client=[172.16.71.46] RESULT: 503 INC ip_count: 8/5 file_count: 0/0 file=[/var/www/html/34.php]
[Fri Mar 11 11:54:48 2011] pid=[28778] name=[172.16.71.46] client=[172.16.71.46] RESULT: 503 INC ip_count: 9/5 file_count: 0/0 file=[/var/www/html/34.php]
[Fri Mar 11 11:54:48 2011] pid=[28580] name=[172.16.71.46] client=[172.16.71.46] RESULT: END DEC ip_count: 8/5 file_count: 0/0 file=[/var/www/html/33.php]
  • Check current counter list per files
touch /tmp/VLIMIT_FILE_STAT
cat /tmp/vlimit_file_stat.list
    • vlimit_file_stat.list sample
[Fri Mar 11 11:51:15 2011] slot=[2] filename=[20.php] counter=[10]
[Fri Mar 11 11:51:15 2011] slot=[3] filename=[12.php] counter=[7]
[Fri Mar 11 11:51:15 2011] slot=[4] filename=[23.php] counter=[10]
[Fri Mar 11 11:51:15 2011] slot=[5] filename=[24.php] counter=[10]
[Fri Mar 11 11:51:15 2011] slot=[6] filename=[4.php] counter=[2]
[Fri Mar 11 11:51:15 2011] slot=[7] filename=[25.php] counter=[10]
[Fri Mar 11 11:51:15 2011] slot=[8] filename=[2.php] counter=[7]
[Fri Mar 11 11:51:15 2011] slot=[9] filename=[1.php] counter=[5]
[Fri Mar 11 11:51:15 2011] slot=[10] filename=[3.php] counter=[2]
[Fri Mar 11 11:51:15 2011] slot=[11] filename=[5.php] counter=[2]
  • Re-create FILE counter lists
rm /tmp/vlimit_file_stat.list
cat /tmp/vlimit_file_stat.list
  • Check current counter list per ip
touch /tmp/VLIMIT_IP_STAT
cat /tmp/vlimit_ip_stat.list
    • vlimit_ip_stat.list sample
[Fri Mar 11 11:54:29 2011] slot=[0] ipaddress=[172.16.71.46] counter=[6]
[Fri Mar 11 11:54:29 2011] slot=[1] ipaddress=[172.16.71.47] counter=[5]
[Fri Mar 11 11:54:29 2011] slot=[2] ipaddress=[172.16.71.48] counter=[7]
[Fri Mar 11 11:54:29 2011] slot=[3] ipaddress=[172.16.71.40] counter=[3]
[Fri Mar 11 11:54:29 2011] slot=[4] ipaddress=[172.16.71.49] counter=[1]
  • Re-create  IP counter lists
rm /tmp/vlimit_ip_stat.list
cat /tmp/vlimit_ip_stat.list

コメント:20

BaT 11-05-25 (水) 2:53

How compile this in Win32 module?

matsumoto_r (MATSUMOTO Ryosuke) 11-05-25 (水) 8:49

@BaT
Sorry.
This module has not compiled in win32 module.

tama 12-02-22 (水) 16:32

はじめまして。
有用なモジュールの開発&公開に感謝します。

さっそくモジュールを導入させていただきました。
特定ディレクトリ以下で制限を設けようと思い、以下の設定にしました。

DirectoryIndex index.html

VlimitFile 3

上記設定で起動した場合、http://example.com/hoge/でアクセスすると4回目以降はすべて503になってしまいます。

mod_vlimit.log(※抜粋)
RESULT: OK INC ip_count: 0/0 file_count: 1/3 file=[/usr/***/hoge/]
RESULT: END DEC ip_count: 0/0 file_count: 0/3 file=[/usr/***/hoge/index.html]
RESULT: OK INC ip_count: 0/0 file_count: 2/3 file=[/usr/***/hoge/]
RESULT: END DEC ip_count: 0/0 file_count: 0/3 file=[/usr/***/hoge/index.html]
RESULT: OK INC ip_count: 0/0 file_count: 3/3 file=[/usr/***/hoge/]
RESULT: END DEC ip_count: 0/0 file_count: 0/3 file=[/usr/***/hoge/index.html]
RESULT: OK INC ip_count: 0/0 file_count: 4/3 file=[/usr/***/hoge/]

カウンターのインクリメントとデクリメントの際のr->filenameの不一致が原因かと思われるのですが、なにかよい回避方法はないでしょうか?

matsumoto_r (MATSUMOTO Ryosuke) 12-02-22 (水) 17:28

>> tamaさん
モジュールを試して頂きありがとうございます。今、現象を確認しました。
作っていた段階では、全てのファイルに制限をかけるというのを想定していなくて、Directiveで基本的に囲む、例えば、FilesやFilesMatch等の使用を想定していました。一旦それで試していただけますか。

この事象の対応も近いうちにやってみます。

tama 12-02-22 (水) 19:24

早速のお返事ありがとうございます。

前回のコメントでは消えてしまっていますが、VlimitFile 3はDirectoryで囲んでいます。
WPにタグとして解釈されて削除されてしまったのでしょうか?
<Directory “/hoge/”>
VlimitFile 3
</Directory>

上記設定だと以下のようになってしまいます
http://example.com/hoge/だと4回目以降すべて503
http://example.com/hoge/index.htmlだと正常

<Filesmatch \.html>
VlimitFile 3
</Filesmatch>

http://example.com/hoge/だと無制限
http://example.com/hoge/index.htmlだと正常動作

アクセスされるURLが[/]で終わっている場合で、DirectoryIndexが適用される場合に制限をかける方法を模索してみます。

ちなみに以下のような使用方法では完璧に動作しています。
<Filesmatch fuga.cgi>
VlimitFile 3
</Filesmatch>

matsumoto_r (MATSUMOTO Ryosuke) 12-02-22 (水) 20:58

>>tamaさん
僕も試してみたところ、Apacheの内部で/にアクセスあった場合のrewrite処理のところで、/にアクセスがあって、さらに実際にDirectoryIndexでアクセスされたファイルは何なのかを処理するルーチンが必要ですね・・・インクリメント時の実装不足のようです。確か、1.3系ではそこまで見てやらなくてもよかったと思うんですが、2系の特有の内部の処理のようです。

すみません。ちょっと改修してみます。

matsumoto_r (MATSUMOTO Ryosuke) 12-02-24 (金) 10:12

>>tamaさん
DirectoryIndexのバグをFixしてみました。
やった内容としては、今まではInitialRequests以外はRedirect対策でスキップするようにしていましたが、それをやめてDirectoryIndexのように、/にアクセスしたときに探索されるファイルをきちんとチェックして、ファイルやディレクトリが存在するか、また、それはファイルであるか、を見るようにしました。ログにも探索時のインクリメントデクリメントは出力しないようにしています。

https://github.com/matsumoto-r/release-code/blob/master/APACHE-MODULE/mod_vlimit/mod_vlimit.c

詳細はコミットログを見て頂くとわかると思います。

なお、デバッグログにはそのあたりのログも出力するようにしていますので、ご確認ください。

tama 12-02-24 (金) 18:17

迅速な対応ありがとうございます。
早速導入してみました。

<Directory “hoge”>
VlimitFile 1
</Directory>

▼http://example.com/hoge/の場合

mod_vlmit.log
RESULT: OK INC ip_count: 0/0 file_count: 1/1 file=[/usr/***/hoge/index.html]
RESULT: 503 INC ip_count: 0/0 file_count: 2/1 file=[/usr/***/hoge/index.html]
RESULT: END DEC ip_count: 0/0 file_count: 1/1 file=[/usr/***/hoge/index.html]
RESULT: END DEC ip_count: 0/0 file_count: 0/1 file=[/usr/***/hoge/index.html]
※同時2接続した際のログ

ただし、apacheのログではステータスコードが2アクセスとも200となり制限が効いていないようです。

▼http://example.com/hoge/index.htmlの場合

mod_vlmit.log
RESULT: OK INC ip_count: 0/0 file_count: 1/1 file=[/usr/***/hoge/index.html]
RESULT: 503 INC ip_count: 0/0 file_count: 2/1 file=[/usr/***/hoge/index.html]
RESULT: END DEC ip_count: 0/0 file_count: 1/1 file=[/usr/***/hoge/index.html]–ここまで1PV目のログ
RESULT: 503 INC ip_count: 0/0 file_count: 2/1 file=[/usr/***/hoge/index.html]
RESULT: END DEC ip_count: 0/0 file_count: 1/1 file=[/usr/***/hoge/index.html]

2PV目以降はすべて503となります。
1PV目でインクリメントが2回行われている模様です。

なお、上記検証はコンパイルエラー回避のため、#include を追加して試しております。

とりあえず、ご報告まで。

tani 12-02-24 (金) 19:57

素晴らしいモジュールをありがとうございます。

早速ですが、モジュールを使わせて頂きましたところ、
mod_rewriteなどで、ファイルが存在しないパスへアクセスがあると
ファイルのカウントが下がらないようです。

例えば「nVlimitFile 5」とした場合で、
.htaccess などで以下のような設定をしたとします。

RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ view.php?file=$1 [L,QSA]

この場合、
例えば[ /test.html ]へアクセスすると[ /view.php?file=test.html ]と解釈されるのですが、
実際には[ /test.html ]が存在しないとファイルのカウントが上がり続け、5回目以降は全て503エラーが返ってしまうようです。

OS : Scientific Linux 6
Apache 2.2.15

tani 12-02-24 (金) 20:13

最新版を使ったら問題発生しませんでした、
お騒がせしました(汗

matsumoto_r (MATSUMOTO Ryosuke) 12-02-25 (土) 14:34

>>tamaさん
上記と同様の設定を行ったところ、hoge/index.htmlに対するアクセスにおいて、http://…./hoge/index.html  でアクセスすると正常にインクリメント・デクリメント、及び503エラーは機能していました。
しかし、hoge/に対して、http://…../hoge/ でアクセスすると、同時接続数のカウンター上限までインクリメントされたのち、再度http://…../hoge/ にアクセスすると、503は返るのですが、Aache内部でのDirectoryIndexの処理上、index.htmlで503になった後は、残りのファイルの探索を継続する(index.rbとかindex.php5等)ので、最終的にそれらのファイルが見つからなかった場合はindex.htmlとしてではなくhoge/としてデクリメントしてしまいます。
503ではなかった場合、index.htmlで探索を停止するので、正常にインクリメントとデクリメントがされる状況です。
これは、少し工夫が必要そうなので、考えてみます。少し時間を下さい。
現状の使い方としては、ファイル単位(FilesやFilesMacth等)の設定を使っていただければと思います。正規表現等で十分にチューニングができると思います。

>>taniさん
事象に関しては解決したようで良かったです。ただし、上記のようなバグがありますので、hoge/に対する設定等にはご注意下さい。

matsumoto_r (MATSUMOTO Ryosuke) 12-02-28 (火) 15:07

>>tamaさん >>taniさん
おまたせしました。

Directory設定とmod_rewriteのバグを修正しました。
これまでは、実際のカウントチェックをap_hook_access_checkerで呼び出していましたが、hookのタイミングとして適切ではなく、DirectoryIndexのファイル探索やredirectの処理が異なるタイミングで生じていたため、カウンターに齟齬が出ていたようです。

ですので、色々Apacheのソースを見なおした結果、ap_hook_fixupsのhookのタイミング(リクエストの最終調整のタイミング)でカウンターチェックを行うようにしました。

これによって、DirectoryIndexやredirect後の情報が構造体に入力された後の処理になるので、カウンターに齟齬が派生しないようになったと思われます。

ご迷惑をお掛けしました。この修正によって、新たなバグが生じている可能性もありますので、また何かあったら教えていただきたいと思っています。

tama 12-02-28 (火) 18:50

早速のご対応ありがとうございます。

DirectoryIndex index.html

<Directory “/hoge/”>
VlimitFile 3
</Directory>

上記設定で
/hoge/ /hoge/index.htmlどちらも正しく制限がかかることを確認しました。

また

<FilesMatch \.html>
VlimitFile 3
</FilesMatch>

こちらも正しく動作しました。

ただ、そのままコンパイルしようとするとエラーになってしまったので、とりあえず#include <sys/stat.h>を追加しました。
現ソースを見る限りstat構造体は未使用のようなので、変数宣言部分を注釈にした方がよかったかも。。。
環境はFreeBSD+Apache2.2.22です。

これからいろいろなケースでチェックしたいと思います。
とりあえずご報告まで。

迅速なご対応に感謝します。

matsumoto_r (MATSUMOTO Ryosuke) 12-02-29 (水) 15:47

>>tamaさん
すみません。最新版のソースはいらない変数とかコメントを気づく限り消して、更新しておきました。
FreeBSDでの動作情報はあまり無いですので、またフィードバック頂けたらとてもうれしいです。

けんた 13-02-25 (月) 13:15

はじめまして。
こんないいものを見つけたので、使ってみようと思っています。
ご質問があるのですが、
同じIP、または同じファイルで制限出来る事は確認できたのですが、
「すべてのIPを対象」に接続数を制限する事はできないのでしょうか。

VlimitIPは、同じIPからの接続数を設定するとの事で、
Filesmatch を使って、「(cgi|htm?l|php)」と指定し、「VlimitFile 1」を設定したのですが、
同じファイルへのアクセス時は、503が発生したのですが、他のファイルへアクセスすると200が帰ってきました。

恐れ入りますが、よろしくお願いいたします。

けんた 13-02-25 (月) 13:20

何度もすみません。
<Directory /home/…../>
VlimitFile 1
</Directory>
でも、同じファイルへのアクセスは制限されたのですが、他のファイルと制限されませんでした。
よろしくお願いいたします。

matsumoto_r (MATSUMOTO Ryosuke) 13-04-03 (水) 19:34

>> けんたさん
はじめまして、返事が遅くなってすみません!

正規表現で指定したときは、それぞれのファイル名がカウンター値を持つ仕様になっています。
全てのマッチするファイルに一つのカウンターを持つチューニングは、なんかあったときに全くアクセスできない状況になるのが怖いのであえてやっていません(だったと思います)。

もし、具体的な設定例と実現したいチューニングがあって、それがmod_vlimitでできないのであれば、実装を検討しますので、よろしければgithubにissueを挙げて頂くことは可能でしょうか?

https://github.com/matsumoto-r/mod_vlimit

matsumoto_r (MATSUMOTO Ryosuke) 13-04-03 (水) 19:57

すみません、あとtwitterで声かけて頂けると一番早く反応できると思います。
https://twitter.com/matsumotory

けんた 13-05-07 (火) 14:08

matsumoto_r さん
お返事ありがとうございます。
こちらこそ、お返事を頂いたのに、ご連絡が遅くなりすみません。

githubのアカウントを持っていませんので、取得したいと思います。
私自身、どの様に設定していいのか悩んでおり、意味不明な事をご質問するかもしれませんが、いろいろご相談にのって頂ければと思っております。

twitterはあまり使っていないのですが、メッセージお送りさせていただきたいと思います。
どうぞよろしくお願いいたします。

matsumoto_r (MATSUMOTO Ryosuke) 13-05-07 (火) 16:19

>> けんたさん

つい先日、そういう技術情報のQAや共有サイトを作りましたので、そちらの方も便利だと思いますので、問題なければ是非使ってみて下さい。

https://registerunderflow.org/

コメントフォーム
Remember personal info

トラックバック:4

このエントリーのトラックバックURL
http://blog.matsumoto-r.jp/wp-trackback.php?p=1479
Listed below are links to weblogs that reference
What is mod_vlimit. “limit the number of simultaneous connections” from 人間とウェブの未来
pingback from 人間とウェブの未来 » 今日(2011-03-17)twitterでつぶやいた内容まとめ 11-03-17 (木) 20:35

[...] 「mod_vlimit」 http://blog.matsumoto-r.jp/?p=1479 # tweetmeme_style = 'compact';tweetmeme_url='http://blog.matsumoto-r.jp/?p=1498&#039;; var [...]

pingback from 人間とウェブの未来 » VirtualHost単位で同時接続数制限できるapacheモジュール 11-05-06 (金) 12:57

[...] mod_vlimit [...]

pingback from 人間とウェブの未来 - 僕が考える最強の超高集積型Webホスティングシステム! 12-09-27 (木) 3:01

[...] mod_vlimit [...]

pingback from 人間とウェブの未来 - 自分で作ったApacheモジュールで使えそうなモジュールまとめ 13-04-04 (木) 11:38

[...] このあたりの記事も参考にすると良いと思います。 [...]

Home > Apacheについて | Linux | 研究について > What is mod_vlimit. “limit the number of simultaneous connections”

検索
フィード
メタ情報

Return to page top