Nginx多级反向代理下的IP透传

透传IP

为何要做透传IP

在使用了CDN做加速站点静态资源加速后,当用户请求的静态资源没能命中,此时CDN会到源站请求内容,那么此时访问源站的IPCDN节点的IP,不仅如此,可能经我们的WAF防火墙和前端的负载均衡(SLB)后更不容易获取到真实的用户IP信息,我们如果要统计用户的访问IP和地区就变得比较麻烦,因为可能不是真实的IP,必须使用一个什么机制将用户IP传递到最终后端的应用服务器才行。

实验环境

访问流程

主机 IP配置 备注
Chrome 10.0.0.1 Windows浏览器
LB-01 10.0.0.5 一级代理
LB-02 10.0.0.6 二级代理
LB-03 10.0.0.7 三级代理
WEB 10.0.0.8 WEB主机

常见的几种方式

X-Real-IP

描述

在每个HTTP请求头中加入X-Real-IP信息,若只存在1级的代理服务器,则该参数的确就是客户端的真实IP,但若是存在多级代理时,此信息为上级代理的IP信息,并不能获取到真实的用户IP,故此法目前已弃用。

nginx配置
#LB-01一级代理配置
server {
    listen 80;
    server_name ip.test.com;

    location / {
        proxy_pass http://10.0.0.6;
        proxy_http_version 1.1;
        Proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}
#LB-02二级代理配置
server {
    listen 80;
    server_name ip.test.com;

    location / {
        proxy_pass http://10.0.0.7;
        proxy_http_version 1.1;
        Proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}
#LB-03三级代理配置
server {
    listen 80;
    server_name ip.test.com;

    location / {
        proxy_pass http://10.0.0.8;
        proxy_http_version 1.1;
        Proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}
#WEB主机配置
server {
    listen 80;
    server_name ip.test.com;

    root /wwwroot;
    index index.php;
    location ~ \.php$ {
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }
}
WEB主机测试脚本
#文件名:index.php
#放到测试目录/wwwroot内
<?php
    $IP_ADDRESS = getenv("HTTP_X_REAL_IP");
    echo "SOURCE IP ADDRESS: $IP_ADDRESS";
?>

注:配置完成后保存所有配置文件,然后启动所有的nginx服务。如果在windows下测试一定要在C:\Windows\System32\drivers\etc\hosts文件内加入本地解析的记录,如下:

10.0.0.5    ip.test.com
Wireshark抓包信息

HTTP报头信息
GET / HTTP/1.1
Host: ip.test.com
X-Real-IP: 10.0.0.6
Connection: close
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: UM_distinctid=16afc8d323f94-0360d7ebcc9bae-3d644509-18e414-16afc8d324063f
chrome打开测试

结论:Wireshark追踪流和Chrome的测试可见,X-Real-IP并不能获取到真实的客户端IP地址,如果时单级代理情况下,可以获取到正确的客户端IP,若存在多级代理就歇菜了。

X-Forwarded-For

描述

在每个HTTP请求头中加入X-Forwarded-For信息,若只存在1级的代理服务器,则该参数为客户端的真实IP,若是存在多级代理时,每经过一级代理服务器,则追加上级代理服务的IP,可以获取到真实的用户IP,但若是遇到伪造的X-Forwarded-For信息或第一级代理未启用X-Forwarded-For都不能获取到真实用户IP,此法是目前比较常用的方法,但更推荐使用nginx_http_realip_module模块添加可信代理的方法。

nginx配置
#LB-01一级代理配置
server {
    listen 80;
    server_name ip.test.com;

    location / {
        proxy_pass http://10.0.0.6;
        proxy_http_version 1.1;
        Proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        #可以尝试注释此处的,看看最终能否获取到真实客户端IP
    }
}
#LB-02二级代理配置
server {
    listen 80;
    server_name ip.test.com;

    location / {
        proxy_pass http://10.0.0.7;
        proxy_http_version 1.1;
        Proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
#LB-03三级代理配置
server {
    listen 80;
    server_name ip.test.com;

    location / {
        proxy_pass http://10.0.0.8;
        proxy_http_version 1.1;
        Proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
#WEB主机配置
server {
    listen 80;
    server_name ip.test.com;

    root /wwwroot;
    index index.php;
    location ~ \.php$ {
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }
}
WEB主机测试脚本
#文件名:index.php
#放到测试目录/wwwroot内
<?php
    $IP_ADDRESS = getenv("HTTP_X_FORWARD_FOR");
    echo "SOURCE IP ADDRESS: $IP_ADDRESS";
?>

注:记得重载nginx配置。

Wireshark抓包信息

HTTP报头信息
GET / HTTP/1.1
Host: ip.test.com
X-Forwarded-For: 10.0.0.1, 10.0.0.5, 10.0.0.6
Connection: close
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: UM_distinctid=16afc8d323f94-0360d7ebcc9bae-3d644509-18e414-16afc8d324063f
chrome打开测试


结论:Wireshark追踪流和Chrome的测试可见,X-Forwarded-For可以获取到真实的客户端IP地址,即便是在多级代理下,也可以获取到正确的客户端IP,但如果某台代理未设置X-Forwarded-For,后端应用服务器可能并不能获取到正确的客户端IP

nginx_http_realip_module

描述

通过预定义可信任的代理主机的IP的方式(可信代理主机默认都会加入X-Forwarded-For信息),根据些X-Forwarded-For的信息,从右到左,滤除掉这些可信代理的IP信息,最终获取到的就是真实客户端IP信息,此信息替换$remote_addr这个变量,使最终客户端IPWEB后端应用服务器的access.log第一列显示,方便取值分析。

nginx官方描述

nginx配置
#LB-01一级代理配置
server {
    listen 80;
    server_name ip.test.com;

    location / {
        proxy_pass http://10.0.0.6;
        proxy_http_version 1.1;
        Proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        #此为可信任的代理服务器,故需要加入这条配置
    }
}
#LB-02二级代理配置
server {
    listen 80;
    server_name ip.test.com;

    location / {
        proxy_pass http://10.0.0.7;
        proxy_http_version 1.1;
        Proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        #此为可信任的代理服务器,故需要加入这条配置
    }
}
#LB-03三级代理配置
server {
    listen 80;
    server_name ip.test.com;

    location / {
        proxy_pass http://10.0.0.8;
        proxy_http_version 1.1;
        Proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        #此为可信任的代理服务器,故需要加入这条配置
    }
}
#WEB主机配置,使用此模块是在后端WEB应用服务器添加参数
server {
    listen 80;
    server_name ip.test.com;
    #定义可信任的代理服务器地址
    set_real_ip_from  10.0.0.5;
    set_real_ip_from  10.0.0.6;
    set_real_ip_from  10.0.0.7;
    #指定从哪个HTTP报头里检索IP信息
    real_ip_header    X-Forwarded-For;
    #递归排除每个代理服务器的IP
    real_ip_recursive on;

    root /wwwroot;
    index index.php;
    location ~ \.php$ {
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }
}
WEB主机测试脚本
#文件名:index.php
#放到测试目录/wwwroot内
<?php
    $IP_ADDRESS = getenv("HTTP_X_FORWARD_FOR");
    echo "SOURCE IP ADDRESS: $IP_ADDRESS";
?>

注:记得重载nginx配置。

Wireshark抓包信息

HTTP报头信息
GET / HTTP/1.1
Host: ip.test.com
X-Forwarded-For: 10.0.0.1, 10.0.0.5, 10.0.0.6
Connection: close
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: UM_distinctid=16afc8d323f94-0360d7ebcc9bae-3d644509-18e414-16afc8d324063f
chrome打开测试

WEB应用服务器的访问LOG

结论:为了解决X-Forwarded-For可能存在伪装IP的问题,我们在后端使用了nginx_http_realip_module模块的set_real_ip_from关键字来添加可信IP并从X-Forwarded-For头中筛选出去,最终成功获取到了客户端IP,并且也对格式日志做了一定的替换,使客户端IP显示于access.log的第一列,方便最终的取值分析,这里需要注意的是,一定要添加正确且绝对可信的代理服务器IP,否则最终结果还是存在问题。

原文地址:https://www.cnblogs.com/tea-melon/p/10977516.html

时间: 2024-08-28 23:26:21

Nginx多级反向代理下的IP透传的相关文章

多级反向代理下,Java获取请求客户端的真实IP地址多中方法整合

在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的.但是在通过了Apache,Squid等反向代理软件就不能获取到客户端的真实IP地址了. 如果使用了反向代理软件,将http://192.168.1.110:2046/ 的URL反向代理为 http://www.javapeixun.com.cn / 的URL时,用request.getRemoteAddr()方法获取的IP地址是:127.0.0.1 或 192.168.1.

haproxy 4层协议下实现ip透传功能

公司有业务场景,利用了haproxy功能,后端服务需要记录应用端的来源,以便审计等用处. haproxy分为4层与7层,我们的业务场景是使用4层tcp协议. 经过一番折腾,终于搞定了,下面记录下. 1.haproxy配置下面是harpoxy的相关配置,重点是后端服务处的check send-proxy 选项,才实现了ip透传功能. global daemon nbproc 2 user root group root maxconn 60000 tune.maxaccept -1 spread-

Nginx多层反向代理透传客户端真实IP

Nginx的反向代理能非常强大,可以配置多层反向代理,多层代理中最关心的就是客户端IP的信息传递情况,当我们遇到问题后,分析日志是解决问题最有效的途径之一,涉及代理时我们肯定会分析源IP,目标IP等信息,查看相关的异常.本次实例就通过两层Nginx反向代理,模拟一下其客户端IP的传递信息. 实验环境: 操作系统 : Centos 7.X Nginx :   nginx1.12 序号 环境名称 IP地址 环境介绍 1 访问客户端1 10.57.3.29 mac  有Chrome等浏览器 2 访问客

Linux中Nginx反向代理下的tomcat集群

Nginx具有反向代理(注意和正向代理的区别)和负载均衡等特点. 这次Nginx安装在 192.168.1.108 这台linux 机器上.安装Nginx 先要装openssl库,gcc,PCRE,zlib库等. Tomcat 安装在192.168.1.168 和 192.168.1.178 这两台机器上.客户端通过访问192.168.1.108 反向代理访问到 192.168.1.168 和 192.168.1.178 里Tomcat 部署的工程内容. 1.Linux 下安装Nginx (机器

nginx 反向代理 取得真实IP和域名

nginx反向代理后,在应用中取得的ip都是反向代理服务器的ip,取得的域名也是反向代理配置的url的域名,解决该问题,需要在nginx反向代理配置中添加一些配置信息,目的将客户端的真实ip和域名传递到应用程序中. nginx反向代理配置时,一般会添加下面的配置: proxy_set_header Host $host;      proxy_set_header X-Real-IP $remote_addr;      proxy_set_header REMOTE-HOST $remote_

客户端IP地址的获取与应用(考虑多级反向代理)

在项目中,当涉及到IP地址的限制(如:内网访问等),或访问记录的存储展示等都需要获得访问者的IP地址,下面展示IP地址的获取方法: 在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的.但是在通过了Apache,Squid等反向代理软件就不能获取到客户端的真实IP地址了. 如果使用了反向代理软件,将http://192.168.1.110:2046/ 的URL反向代理为 http://www.javapeixun.com.cn

多级反向代理java获取真实IP地址

public static String getIpAddress(HttpServletRequest request){ String ip = request.getHeader("x-forwarded-for"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("Proxy-Client-IP"

4-1-面试必备-nginx实现反向代理配置与实战

nginx服务有缓存机制,但是要看nginx做为什么服务器来用,才启用缓存,否则自己的压力就非常大了(后端服务器压力小),因为nginx最拿手的是维持连接,缓存可以使用其他服务.nat服务工作在三层和四层,可以简单理解为工作在四层.注意:如果能工作在应用层就叫做代理,那么这个服务器就能监听一些端口但不是全部,---意思是服务器具有业务处理能力,一边是客户端(要理解客户端发的内容),一边是服务端(用自己的方式把内容传过去),所以可以有自己的缓存了 上边讲的是正向代理和反向代理的原理,nginx是可

Nginx实现反向代理负载均衡与静态缓存

介绍: Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器.在连接高并发的情况下,Nginx是Apache服务器不错的替代品,能够支持高达50000个并发连接数的响应. 实验环境: Hostname IP 系统 规划 n2.preferred 192.168.1.2 Centos 6.5 Web server n3.preferred 192.168.1.3 Centos 6.5 Web server n6.preferred 192.168.1.6