一、相关概念
proxy_set_header:将发送至upsream server的报文的某首部进行重写;
在nginx中我们可以通过这个指令将请求报文中的头部进行自定义
$remote_addr:客户端IP
它的值不是由客户端提供,而是服务端根据客户端的ip指定的,
这里指的客户端相对的,当你浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器就会把$remote_addr的值设为你机器的ip,如果你用了某个代理,那么你的浏览器会先访问这个代理然后再由这个代理转发的网站,这样web服务器就会把$remote_addr设为这台代理服务器的ip
二、利用nginx反向代理,后端Web如何获取真实客户端ip?
环境:
客户端:192.168.100.88
nginx代理:192.168.100.179
httpd2.2服务器:192.168.100.173(注意如果httpd版本是2.4的话,方法不同,重点不在这,这里不作考虑)
nginx服务器:192.168.100.180
nginx服务器:192.168.100.10
1.首先需要在nginx代理服务器上的配置文件nginx.conf上添加一行参数:
location / { 44 #root html; 45 proxy_pass http://192.168.100.173; 46 proxy_set_header X-Real-IP $remote_addr; #添加这行.通过定义X-Real-IP(自定义的名字,但是这里改了的话在后端nginx服务器上怎么设置才能获取到真实客户ip呢?)这个变量的值把真是客户端ip传递给后端web。 47 index index.html index.htm; 48 }
注意:这一行加在http,server,location中都可以。
2.后端web配置
1)对于后端是httpd,编辑的配置文件找到如下:
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
将此行中的 ‘%h‘修改成 ‘%{X-Real-IP}i‘
LogFormat "%{X-Real-IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" c ombined
再从客户端访问192.168.100.179,
查看httpd的访问日志:
此时后端httpd已经能记录客户端真实ip。
1)对于后端是httpd,编辑的配置文件添加一行参数:
set_real_ip_from 192.168.100.179 ;
注意:
1、此时后端nginx编译时一定要加通过--with-http_realip_module添加ngx_http_realip_module模块才可以,否则会报配置语法错误,通过epel源yum安装的nginx已经添加了该模块。
2、ip为nginx代理服务器的ip地址,这一行加在http,server,location中都可以。
再从客户端访问192.168.100.179,查看后端nginx的访问日志,此时已经能记录客户端真实ip。
三、经过多次nginx反向代理后,后端Web如何获取真实客户端ip?
通过X-Real-IP多次传递?
试了下也是可以的,那为啥都不用这个,不兼容haproxy和其它代理吗?
Nginx2设置:
location / { 43 root html; 44 proxy_pass http://192.168.100.173; 45 # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 46 set_real_ip_from 192.168.100.179; 47 proxy_set_header X-Real-IP $remote_addr; 48 index index.html index.htm; 49 }
再来学习下X-Forwarded-For:
先来看一下X-Forwarded-For的定义:
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,
标准格式如下:
X-Forwarded-For: client1, proxy1, proxy2
从标准格式可以看出,X-Forwarded-For头信息可以有多个,中间用逗号分隔,
第一项为真实的客户端ip,剩下的就是曾经经过的代理或负载均衡的ip地址,经过几个就会出现几个。
当经过多个nginx代理时,其X-Forwarded-For头信息应该为客户端IP,Nginx1,Nginx2,、、、。
在默认情况下,Nginx并不会对X-Forwarded-For头做任何的处理,除非用户使用proxy_set_header 参数设置:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
$proxy_add_x_forwarded_for变量包含客户端请求头中的"X-Forwarded-For",与$remote_addr用逗号分开,如果没有"X-Forwarded-For" 请求头,则此时$proxy_add_x_forwarded_for等于$remote_addr。
$remote_addr变量的值是客户端的IP
当Nginx设置X-Forwarded-For等于$proxy_add_x_forwarded_for后会有两种情况发生
1、如果从Nginx1过来的请求没有设置X-Forwarded-For头(通常这种事情不会发生),而到了Nginx2设置将X-Forwarded-For设置为$proxy_add_x_forwarded_for的话,那么X-Forwarded-For的信息头应该为Nginx1的IP,因为相对于Nginx2负载均衡来说客户端即为Nginx1,这样的话,后端的web程序时死活也获得不了真实用户的IP的。
2、如果Nginx1设置了X-Forwarded-For,到了Nginx2我们这里又设置了一次,且值为$proxy_add_x_forwarded_for的话,那么X-Forwarded-For的内容变成 ”客户端IP,Nginx1负载均衡服务器IP“如果是这种情况的话,那后端的程序通过X-Forwarded-For获得客户端IP,则取逗号分隔的第一项即可。
如上两点所说,如果我们知道了Nginx1设置了X-Forwarded-For信息,且只有客户端真实的IP的话,那么我们的Nginx2负载均衡服务器可以不必理会该头,让它默认即可。
其实Nginx中还有一个$http_x_forwarded_for变量,这个变量中保存的内容就是请求中的X-Forwarded-For信息。如果后端获得X-Forwarded-For信息的程序兼容性不好的话(没有考虑到X-Forwarded-For含有多个IP的情况),最好就不要将X-Forwarded-For设置为$proxy_add_x_forwarded_for。应该设置为$http_x_forwarded_for或者干脆不设置!