Nginx在多層代理下獲取真實客戶端IP地址
最近在研究nginx中如何獲取真實客戶端IP的方法。眾所周知,在編譯Nginx時,可通過新增http_realip_module模組來獲取真實客戶端IP地址。何為真實IP地址呢?請看下圖,既獲取到的真實客戶端IP是101,既不是正向代理服的104,也不是反向代理的105。
我們以PHP為例來說明整個過程吧。
前期準備:
在/home/apps/realip.com/下新建index.php:
<?php
foreach($_SERVER as $k=>$v)
echo $k . '=' . $v . '<br />';
修改104, 105, 106的nginx.conf的log格式為:
log_format main 'remote_addr=$remote_addr:$remote_port, http_x_forwarded_for=$http_x_forwarded_for, proxy_add_x_forwarded_for=$proxy_add_x_forwarded_for ';
場景一(最簡單的場景):
在106上的/etc/nginx/conf.d目錄裡,新建realip.com.conf,內容如下。
upstream realip {
server 127.0.0.1:9100;
}
server {
listen 80;
server_name realip.com;
access_log /var/log/nginx/realip.com.access.log main;
error_log /var/log/nginx/realip.com.error.log error;
location / {
root /home/apps/realip.com/;
index index.php;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
location ~ \.php$ {
root /home/apps/realip.com/;
fastcgi_pass realip;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
location ~ /\.ht {
deny all;
}
}
同時修改fastcgi_params檔案確保有以下兩行:
fastcgi_param REMOTE_ADDR $remote_addr;
fastcgi_param HTTP_X_FORWARDED_FOR $proxy_add_x_forwarded_for;
在客戶機101上做host:
192.168.1.106 realip.com
REMOTE_ADDR=192.168.1.101
HTTP_X_FORWARDED_FOR=192.168.1.101
106上的Nginx log是:
remote_addr=192.168.1.101:23350, http_x_forwarded_for=-, proxy_add_x_forwarded_for=192.168.1.101
結果描述:
- REMOTE_ADDR和HTTP_X_FORWARDED_FOR都是真實客戶端IP地址101。
場景二(增加一臺Nginx反向代理):
在105上的/etc/nginx/conf.d目錄裡,新建realip.com.conf,內容如下。
upstream realip {
#反向代理到106的80埠
server 192.168.1.106:80;
}
server {
listen 80;
server_name realip.com;
access_log /var/log/nginx/realip.com.access.log main;
error_log /var/log/nginx/realip.com.error.log error;
location / {
proxy_pass http://realip;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
include fastcgi_params;
}
}
同時修改fastcgi_params檔案確保有以下一行:
fastcgi_param REMOTE_ADDR $remote_addr;
在客戶機101上修改host:
192.168.1.105 realip.com
REMOTE_ADDR=192.168.1.105
HTTP_X_FORWARDED_FOR=192.168.1.101, 192.168.1.105
HTTP_X_REAL_IP=192.168.1.101
106上的Nginx log是:
remote_addr=192.168.1.105:34686, http_x_forwarded_for=192.168.1.101, proxy_add_x_forwarded_for=192.168.1.101, 192.168.1.105
105上的Nginx log是:
remote_addr=192.168.1.101:23417, http_x_forwarded_for=-, proxy_add_x_forwarded_for=192.168.1.101
結果描述:
- REMOTE_ADDR變成了反向代理105的IP地址
- HTTP_X_FORWARDED_FOR記錄了真實客戶端IP和反向代理IP,以逗號分隔。
- 新出現的HTTP_X_REAL_IP也是真實客戶端IP地址,是由105的realip.com.conf配置寫入的
場景三(再增加一臺Nginx正向代理):
Nginx是可以做正向代理的,但是必須指定resolver(既DNS)。但是我沒有搭建內網DNS,所以就把104又搭建成了一臺反向代理來模擬正向代理。我認為正向、反向代理原理都是差不多的,取得的結果也應該差不多的(如果誰能用真正的正向代理測試出了不同結果,請告知一下)。
同時修改fastcgi_params檔案確保有以下一行:
fastcgi_param REMOTE_ADDR $remote_addr;
在客戶機101上修改host:
192.168.1.104 realip.com
REMOTE_ADDR=192.168.1.105
HTTP_X_FORWARDED_FOR=192.168.1.101, 192.168.1.104, 192.168.1.105
HTTP_X_REAL_IP=192.168.1.104
106上的Nginx log是:
remote_addr=192.168.1.105:34780, http_x_forwarded_for=192.168.1.101, 192.168.1.104, proxy_add_x_forwarded_for=192.168.1.101, 192.168.1.104, 192.168.1.105
105上的Nginx log是:
remote_addr=192.168.1.104:60142, http_x_forwarded_for=192.168.1.101, proxy_add_x_forwarded_for=192.168.1.101, 192.168.1.104
104上的Nginx log是:
remote_addr=192.168.1.101:23470, http_x_forwarded_for=-, proxy_add_x_forwarded_for=192.168.1.101
結果描述:
- REMOTE_ADDR還是反向代理105的IP地址
- HTTP_X_FORWARDED_FOR記錄了真實客戶端IP和兩臺反向代理IP,以逗號分隔。
- HTTP_X_REAL_IP變成了104
結論:
在預設配置情況下,如果要取得客戶端真實IP地址的話,只有取HTTP_X_FORWARDED_FOR的第一個逗號前的IP地址最靠譜,其他的地址都有可能被重寫。當然,如果連HTTP_X_FORWARDED_FOR都被重寫的話就另當別論了