`

反向代理与 Real-IP 和 X-Forwarded-For

阅读更多

 

开篇语:开涛新作《亿级流量网站架构核心技术》出版计划公布以来,博文视点遭受到一波又一波读者询问面世时间的DDos攻击。面对亿级流量的热情,感激之余,我们也很庆幸——这部作品质量的确过硬,不会辜负拥趸厚望,更有开涛的高度负责和体贴周到加持,让她绝对物超所值、长久流芳。下面,看一篇来自这位技术暖男的售前支持。 
——本书策划编辑 侠少

  本文作者张开涛。为保障《亿级流量网站架构核心技术》一书内容的连续性,有些需要读者了解的内容,或者书的补充和引申内容,会通过二维码嵌入的方式引导读者阅读学习。大家可以关注作者公众号“开涛的博客”,并从菜单栏“我的新书”中查阅相关内容。

  本文是「4.4 接入层限流」节中的「按照IP限制并发连接数配置示例」部分需要了解的内容。 
  当我们访问互联网上的服务时,大多数时,客户端并不是直接访问到服务端的,而是客户端首先请求到反向代理,反向代理再转发到服务端实现服务访问,通过反向代理实现路由/负载均衡等策略。这样一来在服务端拿到的客户端IP将是反向代理IP,而不是真实客户端IP,因此需要一种办法来获取到真实客户端IP。 
  如下图所示,客户端通过Nginx Proxy1 和 Nginx Proxy2 两层反向代理才访问到具体服务Nginx Backend(或如Tomcat服务)。那Nginx Backend如何才能拿到真实客户端IP呢? 
图片描述

  接下来我们来看看如何才能获取到客户端真实IP。

场景1

  场景1是很简单的场景,Nginx Proxy直接把请求往后转发,没有做任何处理。

Nginx Proxy 192.168.107.107 nginx.conf
location /test {
    proxy_pass http://192.168.107.112:8080;
} 192.168.107.112 nginx.conf
location /test {
    proxy_pass http://192.168.107.114:8080;
}
Nginx Proxy就是简单的把请求往后转发。
Nginx Backend 192.168.107.114 nginx.conf
location /test {
    default_type text/html;
    charset gbk; echo "$remote_addr || $http_x_forwarded_for";
}

  Nginx Backend输出客户端IP($remote_addr)和X-Forwarded-For请求头($http_x_forwarded_for),当访问服务时输出结果如下所示:

192.168.107.112 ||

分析

1.$remote_addr代表客户端IP,当前配置的输出结果为最后一个代理服务器的IP,并不是真实客户端IP; 
2.在没有特殊配置情况下,X-Forwarded-For请求头不会自动添加到请求头中,即Nginx Backend的$http_x_forwarded_for输出为空。

场景2

  场景2通过添加X-Real-IP和X-Forwarded-For捕获客户端真实IP。

Nginx Proxy 192.168.107.107 nginx.conf
location /test {
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://192.168.107.112:8080;
} 192.168.107.112 nginx.conf
location /test {
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://192.168.107.114:8080;
}
Nginx Backend 192.168.107.114 nginx.conf
location /test {
    default_type text/html;
    charset gbk; echo "$remote_addr ||$http_x_real_ip ||$http_x_forwarded_for";
}

  当访问服务时,输出结果为:

192.168.107.112 || 192.168.162.16 || 192.168.162.16, 192.168.107.107

分析

1.在离用户最近的反向代理NginxProxy 1,通过“proxy_set_header X-Real-IP $remote_addr”把真实客户端IP写入到请求头X-Real-IP,在NginxBackend输出$http_x_real_ip获取到了真实客户端IP;而Nginx Backend的“$remote_addr”输出为最后一个反向代理的IP; 
2.“proxy_set_headerX-Forwarded-For $proxy_add_x_forwarded_for”的是把请求头中的X-Forwarded-For与$remote_addr用逗号合起来,如果请求头中没有X-Forwarded-For则$proxy_add_x_forwarded_for为$remote_addr。 
  X-Forwarded-For代表了客户端IP,反向代理如Nginx通过$proxy_add_x_forwarded_for添加此项,X-Forwarded-For的格式为X-Forwarded-For:real client ip, proxy ip 1, proxy ip N,每经过一个反向代理就在请求头X-Forwarded-For后追加反向代理IP。 
  到此我们可以使用请求头X-Real-IP和X-Forwarded-For来获取客户端IP及客户端到服务端经过的反向代理IP了。这种方式还是很麻烦,$remote_addr并不是真实客户端IP。

场景3

  为了更方便的获取真实客户端IP,可以使用nginx http_realip_module模块解决,在安装nginx时通过–with-http_realip_module安装该模块。NginxProxy配置和场景2一样。

Nginx Backend 192.168.107.114 nginx.conf
real_ip_header X-Forwarded-For; set_real_ip_from 192.168.0.0/16; 
real_ip_recursive on; 

location /test {
    default_type text/html;
    charset gbk; echo "$remote_addr || $http_x_real_ip ||$http_x_forwarded_for";
}

  当访问服务时,输出结果为:

192.168.162.16 || 192.168.162.16 || 192.168.162.16, 192.168.107.107

分析

1.X-Real-IP和X-Forwarded-For和场景2一样; 
2.使用realip模块后,$remote_addr输出结果为真实客户端IP,可以使用$realip_remote_addr获取最后一个反向代理的IP; 
3.real_ip_headerX-Forwarded-For:告知Nginx真实客户端IP从哪个请求头获取,如X-Forwarded-For; 
4.set_real_ip_from192.168.0.0/16:告知Nginx哪些是反向代理IP,即排除后剩下的就是真实客户端IP,支持配置具体IP地址、CIDR地址; 
5.real_ip_recursive on:是否递归解析,当real_ip_recursive配置为off时,Nginx会把real_ip_header指定的请求头中的最后一个IP作为真实客户端IP;当real_ip_recursive配置为on时,Nginx会递归解析real_ip_header指定的请求头,最后一个不匹配set_real_ip_from的IP作为真实客户端IP。 
  如果配置“real_ip_recursive off; ”,则输出结果为:

192.168.107.107 || 192.168.162.16 ||192.168.162.16, 192.168.107.107

总结

1.通过“proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for” 把从真实客户端IP和反向代理IP通过逗号分隔,添加到请求头中; 
2.可以在第一个反向代理上配置“proxy_set_header X-Real-IP $remote_addr” 获取真实客户端IP; 
3.配合realip模块从X-Forwarded-For也可以获取到真实客户端IP。 
  在整个反向代理链条的第一个反向代理可以不配置“proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for”,否则客户端可以伪造X-Forwarded-For从而伪造客户端真实IP,如果服务端使用X-Forwarded-For第一个IP作为真实客户端IP,则就出问题了。如果通过配置X-Real-IP请求头或者配合realip模块也不会出现该问题。如果自己解析X-Forwarded-For的话,记得使用realip算法解析,而不是取第一个。 
当我们进行限流时一定注意限制的是真实客户端IP,而不是反向代理IP,我遇到过很多同事在这块出问题的。

 


想及时获得更多精彩文章,可在微信中搜索“博文视点”或者扫描下方二维码并关注。
图片描述

分享到:
评论

相关推荐

    X-Forwarded-For Nginx 文档整理

    总结来说,`X-Forwarded-For`和`X-Real-IP`是HTTP请求追踪中的关键元素,尤其在处理多层代理和反向代理的场景下。正确理解和使用这两个头部字段,有助于我们准确获取客户端的原始IP信息,这对于日志记录、安全分析和...

    nginx做反向代理时的真实IP_nginx反向代理_

    注意,如果还有多层代理,确保所有中间代理都正确设置了`X-Real-IP`,以防止头部被覆盖。 此外,还可以使用`$http_x_forwarded_for`变量,它包含了通过代理链的完整IP列表,最原始的客户端IP位于列表的最前端。但请...

    Laravel开发-laravel-cloudflare-real-ip

    此外,考虑到不同的CDN可能会有不同的头字段名,你还可以检查其他可能的头,如`X-Forwarded-For`,这是一个常见的代理头,很多CDN和代理服务都会设置它。如果`CF-Connecting-IP`不存在,可以尝试从`X-Forwarded-For`...

    Nginx作为反向代理时传递客户端IP的设置方法

    nginx默认配置文件里面是没有进行日志转发配置的,这个需要我们自己手动来操作了,当然后端的real server不同时操作方法是不一样的,这里我们分别例举几种情况来说明一下。 nginx做前端,转发日志到后端nginx服务器...

    windows下配置nginx反向代理tomcat

    - **`proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for`**:设置 `X-Forwarded-For` 头部字段,记录客户端的真实 IP 和中间经历的多层代理的 IP 集合。 - **`proxy_set_header X-Forwarded-Proto $...

    Nginx1.2.7 for windows反向代理配置

    `proxy_set_header`这两行设置了两个重要的HTTP头,`X-Real-IP`用于传递客户端的真实IP,`X-Forwarded-For`记录经过代理服务器的完整请求链路。 在完成配置修改后,记得启用Nginx的日志功能。找到配置文件中`error_...

    nginx+tomcat反向代理安装配置

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } ``` 为了确保`nginx`在系统启动时自动运行,我们需要配置`nginx开机启动文件.txt`。这通常涉及将...

    6-Ngnix配置反向代理-http测试应用

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } server { listen 8081; server_name example.com; location / { proxy_pass ...

    nginx实现Tomcat反向代理

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } ``` 3. **启用HTTPS**:若要支持HTTPS,需要购买SSL证书并安装到服务器上。然后修改Nginx配置,增加SSL相关设置: ``` server { listen...

    https通信nginx反向代理443端口

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } ``` 3. **配置完成后,需要测试Nginx配置文件的语法正确性**,使用命令`nginx -t`。如果无误...

    Nginx反向代理不能访问项目的解决办法

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } } ``` - **listen**:监听端口。 - **server_name**:绑定的域名。 - **location**:定义了...

    Java面试之如何获取客户端真实IP

    Java获取客户端真实IP ...在Java中获取客户端真实IP需要使用X-Real-IP和X-Forwarded-For请求头,并在nginx配置文件中添加相应的配置。这样,我们就可以获取客户端的真实IP,并实现分享功能的地区辨识功能。

    一分钟搞定 Nginx反向代理 nginx域名代理

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } (完整拷贝上面的内容server_name www.*****.com; 这里面的域名即是来访域名 proxy_pass http://192.168.45.1:8045; 这里面的域名...

    获取访问者真实的IP地址

    2. **处理 `X-Forwarded-For`**:如果`X-Real-IP`不存在或为"unknown",则从`X-Forwarded-For`头中获取IP地址。该头部可能包含多个IP地址,通过逗号分隔。此时取第一个IP地址作为客户端的真实IP地址。 3. **处理 `...

    jsp页面得到客户端的真是ip

    String realIP = request.getHeader("x-forwarded-for"); String ip = request.getRemoteAddr(); Enumeration<String> enumNames = request.getHeaderNames(); // 打印所有 header 名称及其值 while ...

    获取客户端ip

    ### 获取客户端真实IP地址 ...通过使用`X-Forwarded-For`字段和其他相关字段的信息,可以有效地解决在存在代理服务器的情况下获取客户端真实IP地址的问题。上述两种方法可以根据实际需求选择使用。

    centos安装多个nginx实现反向代理.zip

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } ``` **反向代理Java项目** 对于Java项目,假设应用服务器监听在`8081`端口,可以在`nginx-...

    nginx配置负载均衡和反向代理示例.txt

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; client_max_body_size 10m; client_body_buffer_size 128k; proxy_connect_timeout 300; proxy_send_timeout 300; proxy_read_timeout 300...

    PHP通过$_SERVER['REMOTE_ADDR']得到的是内网IP?如何才能获得客户的公网IP(真实IP地址).zip

    3. **多级代理判断**:如果存在多级代理,`X-Forwarded-For`可能包含多个IP,一般最后一个才是用户的真实IP。但要确保过滤掉可能的伪造IP,例如: ```php $forwarded_ips = explode(',', $_SERVER['...

Global site tag (gtag.js) - Google Analytics