https://wiki.ixheim.de/index.php?action=history&feed=atom&title=HAProxy_Rate_Limiting_und_Security_HeaderHAProxy Rate Limiting und Security Header - Versionsgeschichte2026-06-17T13:29:00ZVersionsgeschichte dieser Seite in Xinux WikiMediaWiki 1.35.1https://wiki.ixheim.de/index.php?title=HAProxy_Rate_Limiting_und_Security_Header&diff=70368&oldid=prevThomas.will: Die Seite wurde neu angelegt: „=== Was ist das?=== Beide Funktionen sind nativ in HAProxy verfügbar – kein Zusatztool erforderlich. ===Rate Limiting mit Stick Tables=== HAProxy kann Req…“2026-05-23T13:33:48Z<p>Die Seite wurde neu angelegt: „=== Was ist das?=== Beide Funktionen sind nativ in HAProxy verfügbar – kein Zusatztool erforderlich. ===Rate Limiting mit Stick Tables=== HAProxy kann Req…“</p>
<p><b>Neue Seite</b></p><div>=== Was ist das?===<br />
Beide Funktionen sind nativ in HAProxy verfügbar – kein Zusatztool erforderlich.<br />
<br />
===Rate Limiting mit Stick Tables===<br />
<br />
HAProxy kann Requests pro IP begrenzen und bei Überschreitung mit HTTP 429 antworten.<br />
<br />
Die folgende Konfiguration ergänzt den bestehenden <code>frontend ft_https</code> und <code>backend backend_www</code>:<br />
<br />
*nano /etc/haproxy/haproxy.cfg<br />
<br />
<syntaxhighlight lang="text"><br />
# Stick Table im Backend definieren<br />
backend backend_www<br />
stick-table type ip size 100k expire 30s store http_req_rate(10s)<br />
http-request track-sc0 src<br />
http-request deny deny_status 429 if { sc_http_req_rate(0) gt 50 }<br />
server www 10.88.2XX.11:443 ssl verify none check<br />
</syntaxhighlight><br />
<br />
;Erklärung:<br />
*<code>stick-table</code> – speichert Request-Raten pro IP im RAM<br />
*<code>http_req_rate(10s)</code> – zählt Requests innerhalb von 10 Sekunden<br />
*<code>gt 50</code> – blockiert ab mehr als 50 Requests in 10 Sekunden<br />
*<code>deny_status 429</code> – antwortet mit ''429 Too Many Requests''<br />
<br />
===Security Headers===<br />
<br />
Im <code>frontend ft_https</code> ergänzen:<br />
<br />
<syntaxhighlight lang="text"><br />
frontend ft_https<br />
# ... bestehende Konfiguration ...<br />
http-response set-header Strict-Transport-Security "max-age=31536000; includeSubDomains"<br />
http-response set-header X-Frame-Options "SAMEORIGIN"<br />
http-response set-header X-Content-Type-Options "nosniff"<br />
http-response set-header Referrer-Policy "strict-origin-when-cross-origin"<br />
</syntaxhighlight><br />
<br />
===Test===<br />
<br />
*curl -vk https://revproxy.it2XX.int<br />
<br />
In der Ausgabe sollten die gesetzten Header sichtbar sein:<br />
<br />
< strict-transport-security: max-age=31536000; includeSubDomains<br />
< x-frame-options: SAMEORIGIN<br />
< x-content-type-options: nosniff<br />
<br />
Rate Limiting testen (z.B. mit <code>ab</code> oder einer Schleife):<br />
<br />
*for i in $(seq 1 60); do curl -sk -o /dev/null -w "%{http_code}\n" https://revproxy.it2XX.int; done<br />
<br />
Ab Request 51 sollte <code>429</code> erscheinen.<br />
<br />
----</div>Thomas.will