【整理】获取用户真实 ip 地址的 nginx 相关配置

简介:

nginx 为实现反向代理的需求增加了一个 ngx_http_proxy_module 模块。其中 proxy_set_header 指令就是该模块需要读取的配置。  

      HTTP header 中的  Host   含义为所请求的目的主机名。当 nginx 作为反向代理使用,而后端真实 web 服务器设置有类似   防盗链功能   ,或者根据 HTTP header 中的 Host 字段来进行   路由     过滤   功能的话,若作为反向代理的 nginx 不重写请求头中的 Host 字段,将会导致请求失败。  

       HTTP header 中的    X_Forward_For    表示该条 http 请求是由谁发起的。如果反向代理服务器不重写该请求头的话,那么后端真实 web 服务器在处理时会认为所有的请求都来自反向代理服务器。如果后端 web 服务器有防攻击策略的话,那么反向代理服务器对应的 ip 地址就会被封掉。因此,在配置用作反向代理的 nginx 时,一般会增加以下两条配置修改 http 的请求头:  
?
1
2
proxy_set_header Host $http_host;
proxy_set_header X-Forward-For $remote_addr;
      这里,$http_host 和 $remote_addr 都是 nginx 的导出变量,可以在配置文件中直接使用。如果 Host 没有出现在 HTTP header 中,则 $http_host 的值为空,而 $host 和 $http_host 同样表示请求头中的 Host 字段,但若 Host 字段不存在,则以实际处理的虚拟主机 server 的 server_name 替代。因此一般而言,会用 $host 代替 $http_host 变量(如下),从而避免 http 请求中丢失 Host 头部的情况下 Host 不被重写的失误。  
?
1
proxy_set_header Host $host;
      服务器集群之间的通信,是可以信任的。我们要做的就是在离用户最近的前端代理上,强制设定 X-Forward-For 的值,后端所有机器不作任何设置,直接信任并使用前端机器传递过来的 X-Forward-For 值即可。  
   
即在最前端的 Nginx 上设置:  
?
1
2
3
4
location  ~  ^ /static {
     proxy_pass  ....;
     proxy_set_header X-Forward-For $remote_addr ;
}
      记住,$remote_addr 是 nginx 的内置变量,代表了客户端真实(网络传输层)IP 。通过该设置,强行将 X-Forward-For 设置为客户端 ip ,使客户端无法通过本文所述方式“伪造 IP”。  
      当 nginx 作为反向代理服务器时,X-Forward-For 可以用于把发送者 ip 、代理机器 ip 都记录下来(用逗号分隔)。  

经过反向代理后,由于在客户端和 web 服务器之间增加了中间层,因此 web 服务器无法直接拿到客户端的 ip,在 web 服务器上通过 $remote_addr 变量拿到的将是反向代理服务器的 ip 地址
      当你使用了 nginx 反向代理后,在 web 端使用类似 request.getRemoteAddr() 的 API(本质上就是获取 $remote_addr),取得的实际上是 nginx 的地址,即 $remote_addr 变量中封装的是 nginx 的地址,当然是没法获得用户的真实 ip 的,然而 nginx 本身是可以获得用户的真实 ip 的,也就是说 nginx 使用 $remote_addr 变量可以获得用户的真实 ip ,如果我们想要在 web 端获得用户的真实 ip ,就必须在 nginx 这里作一个赋值操作,如下:  
?
1
proxy_set_header  X-real-ip $remote_addr;
      其中这个 X-real-ip 是一个自定义的变量名,名字可以随意取,这样做完之后,用户的真实 ip 就被放在 X-real-ip 这个变量里了,然后,在 web 端可以通过类似如下 API 获取客户端 ip:  
?
1
request.getAttribute( "X-real-ip" )

 X-real-ip 的用途是为了后端 web 服务器可以获取用户的真实 ip ,   那么还要    X-Forwarded-For 干啥?  
      追溯历史,这个 X-Forwarded-For 变量,是 squid 开发的,用于识别请求通过了哪些 HTTP 代理或负载平衡器,记录相应 IP 地址列表的非 rfc 标准,如果设置了 X-Forwarded-For ,那么每次经过 proxy 转发请求后都会有记录,格式就是  
?
1
client1, proxy1, proxy2, ...
      以逗号隔开各个地址。由于是非 rfc 标准,所以默认是没有的,需要强制添加。在默认情况下经过 proxy 转发的请求,在后端 web 服务器看来远程地址都是 proxy 的 ip 地址。也就是说在默认情况下我们使用 request.getAttribute("X-Forwarded-For") 获取不到用户的 ip ,如果我们想要通过这个变量获得用户的 ip ,我们需要自己在 nginx 添加如下配置:  
?
1
proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
      上述配置的意思是增加一个 $proxy_add_x_forwarded_for 到 X-Forwarded-For 里去,注意是增加,而不是覆盖。当然由于默认的 X-Forwarded-For 值是空的,所以我们总感觉 X-Forwarded-For 的值就等于 $proxy_add_x_forwarded_for 的值。  

      实际上,当你通过搭建不同 ip 的两台 nginx 构成多级代理时,并且都使用了这段配置,那你会发现在 web 服务器端通过类似 request.getAttribute("X-Forwarded-For") 的 API 获得的将会是客户端 ip 和第一台 nginx 的 ip 。  


试验:【以 http 方式通过 nginx 访问 cowboy】  

浏览器侧抓包  
 

cowboy 上抓包  
 
目录
相关文章
|
1月前
|
应用服务中间件 Linux 网络安全
centos7 下离线安装gcc g++ nginx,并配置nginx进行网络流转发
centos7 下离线安装gcc g++ nginx,并配置nginx进行网络流转发
66 0
|
1天前
|
负载均衡 Ubuntu 应用服务中间件
|
2天前
|
前端开发 应用服务中间件 Linux
nginx解决springcloud前后端跨域问题,同时配置ssl
nginx解决springcloud前后端跨域问题,同时配置ssl
|
2天前
|
Java 应用服务中间件 网络安全
Nginx配置静态页面+springboot应用+swagger+SSL的实现
Nginx配置静态页面+springboot应用+swagger+SSL的实现
|
4天前
|
运维 应用服务中间件 Shell
Nginx安装与虚拟主机配置shell脚本
Nginx安装与虚拟主机配置shell脚本
10 0
|
19天前
|
应用服务中间件 Shell nginx
【Docker】Docker安装Nginx配置静态资源
【Docker】Docker安装Nginx配置静态资源
29 0
|
20天前
|
应用服务中间件 nginx iOS开发
mac+alfred中的Workflow实现快速格式化nginx配置
mac+alfred中的Workflow实现快速格式化nginx配置
17 0
|
23天前
|
缓存 应用服务中间件 网络安全
nginx服务升级配置
nginx服务升级配置
|
26天前
|
负载均衡 Ubuntu 应用服务中间件
如何在Nginx上阻止特定IP地址的访问,以增强服务器的安全性
如何在Nginx上阻止特定IP地址的访问,以增强服务器的安全性
19 0
如何在Nginx上阻止特定IP地址的访问,以增强服务器的安全性
|
26天前
|
应用服务中间件 nginx 网络架构
Windows系统如何修改Nginx配置实现远程访问多个本地站点
Windows系统如何修改Nginx配置实现远程访问多个本地站点
27 0

相关产品

  • 云迁移中心