Nginx 获取客户端真实IP $remote_addr与X-Forwarded-For
nginx配置
首先,一個請求肯定是可以分為請求頭和請求體的,而我們客戶端的IP地址信息一般都是存儲在請求頭里的。如果你的服務器有用Nginx做負載均衡的話,你需要在你的location里面配置X-Real-IP和X-Forwarded-For請求頭:
location ^~ /your-service/ {proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://localhost:60000/your-service/;}?
X-Real-IP
在《實戰nginx》中,有這么一句話:
經過反向代理后,由于在客戶端和web服務器之間增加了中間層,因此web服務器無法直接拿到客戶端的ip,通過$remote_addr變量拿到的將是反向代理服務器的ip地址。這句話的意思是說,當你使用了nginx反向服務器后,在web端使用request.getRemoteAddr()(本質上就是獲取$remote_addr),取得的是nginx的地址,即$remote_addr變量中封裝的是nginx的地址,當然是沒法獲得用戶的真實ip的。但是,nginx是可以獲得用戶的真實ip的,也就是說nginx使用$remote_addr變量時獲得的是用戶的真實ip,如果我們想要在web端獲得用戶的真實ip,就必須在nginx里作一個賦值操作,即我在上面的配置:
proxy_set_header?X-Real-IP?$remote_addr;$remote_addr 只能獲取到與服務器本身直連的上層請求ip,所以設置$remote_addr一般都是設置第一個代理上面;但是問題是,有時候是通過cdn訪問過來的,那么后面web服務器獲取到的,永遠都是cdn 的ip 而非真是用戶ip,那么這個時候就要用到X-Forwarded-For 了,這個變量的意思,其實就像是鏈路反追蹤,從客戶的真實ip為起點,穿過多層級的proxy ,最終到達web 服務器,都會記錄下來,所以在獲取用戶真實ip的時候,一般就可以設置成,proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 這樣就能獲取所有的代理ip 客戶ip。?
?
X-Forwarded-For
X-Forwarded-For變量,這是一個squid開發的,用于識別通過HTTP代理或負載平衡器原始IP一個連接到Web服務器的客戶機地址的非rfc標準,如果有做X-Forwarded-For設置的話,每次經過proxy轉發都會有記錄,格式就是client1,proxy1,proxy2以逗號隔開各個地址,由于它是非rfc標準,所以默認是沒有的,需要強制添加。在默認情況下經過proxy轉發的請求,在后端看來遠程地址都是proxy端的ip 。也就是說在默認情況下我們使用request.getAttribute("X-Forwarded-For")獲取不到用戶的ip,如果我們想要通過這個變量獲得用戶的ip,我們需要自己在nginx添加配置:
proxy_set_header?X-Forwarded-For?$proxy_add_x_forwarded_for;意思是增加一個$proxy_add_x_forwarded_for到X-Forwarded-For里去,注意是增加,而不是覆蓋,當然由于默認的X-Forwarded-For值是空的,所以我們總感覺X-Forwarded-For的值就等于$proxy_add_x_forwarded_for的值,實際上當你搭建兩臺nginx在不同的ip上,并且都使用了這段配置,那你會發現在web服務器端通過request.getAttribute("X-Forwarded-For")獲得的將會是客戶端ip和第一臺nginx的ip。
那么$proxy_add_x_forwarded_for又是什么?
$proxy_add_x_forwarded_for變量包含客戶端請求頭中的X-Forwarded-For與$remote_addr兩部分,他們之間用逗號分開。
舉個例子,有一個web應用,在它之前通過了兩個nginx轉發,www.linuxidc.com即用戶訪問該web通過兩臺nginx。
在第一臺nginx中,使用:
proxy_set_header?X-Forwarded-For?$proxy_add_x_forwarded_for;現在的$proxy_add_x_forwarded_for變量的X-Forwarded-For部分是空的,所以只有$remote_addr,而$remote_addr的值是用戶的ip,于是賦值以后,X-Forwarded-For變量的值就是用戶的真實的ip地址了。
到了第二臺nginx,使用:
proxy_set_header?X-Forwarded-For?$proxy_add_x_forwarded_for;現在的$proxy_add_x_forwarded_for變量,X-Forwarded-For部分包含的是用戶的真實ip,$remote_addr部分的值是上一臺nginx的ip地址,于是通過這個賦值以后現在的X-Forwarded-For的值就變成了“用戶的真實ip,第一臺nginx的ip”,這樣就清楚了吧。
?
舉個例子說明 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
192.168.179.99->192.168.179.100->192.168.179.101->192.168.179.102(102為最后的服務端)192.168.179.99配置location /{proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://192.168.179.100;}192.168.179.100配置location /{proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://192.168.179.101;}192.168.179.101配置location /{proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://192.168.179.102;}192.168.179.102配置 在日志中設置打印$http_x_forwarded_for,進行觀察log_format main '$http_x_forwarded_for|$http_x_real_ip|$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" "$http_x_forwarded_for"';
(1)客戶端使用瀏覽器去訪問192.168.179.99服務端192.168.179.102日志如下,可以看到獲取到客戶端的IP為192.168.179.4 192.168.179.4, 192.168.179.99, 192.168.179.100|-|192.168.179.101 - - [26/Apr/2020:10:57:22 +0800] "GET / HTTP/1.0" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.122 Safari/537.36" "192.168.179.4, 192.168.179.99, 192.168.179.100"(2)客戶端192.168.179.103去訪問192.168.179.99服務端192.168.179.102日志如下,可以看到獲取到客戶端的IP為192.168.179.103 192.168.179.103, 192.168.179.99, 192.168.179.100|-|192.168.179.101 - - [26/Apr/2020:10:57:32 +0800] "GET / HTTP/1.0" 200 4833 "-" "curl/7.29.0" "192.168.179.103, 192.168.179.99, 192.168.179.100"
總結
以上是生活随笔為你收集整理的Nginx 获取客户端真实IP $remote_addr与X-Forwarded-For的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 省份、区域(华南,华北...)自定义颜色
- 下一篇: 国产芯片、数字人体……今年的服贸会正上演