nginx实战-frp+docker+nginx+tomcat内网穿透无法获取客户端真实ip

已于 2023-08-14 11:36:35 修改
阅读量2.4k 收藏 5
点赞数 3
分类专栏: 开发组件 文章标签: docker nginx tomcat
于 2022-07-01 11:52:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blueeyedboy521/article/details/125552721
版权

目录

部署架构

浏览器–>frp–>nginx(docker)–>tomcat

场景描述

在公网部署了frp服务,在本地内网docker环境下安装好了nginx服务,访问内网中的tomcat,但我查看nginx的日志时,发现记录的ip全是内网docker的ip,没有获取到真实的访问ip。

172.17.0.1 - - [30/Jun/2022:22:56:45 +0800] "GET /aad7 HTTP/1.1" 400 657 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36"
172.17.0.1 - - [30/Jun/2022:23:25:57 +0800] "GET / HTTP/1.1" 200 3956 "-" "Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)"
172.17.0.1 - - [30/Jun/2022:23:26:08 +0800] "PRI * HTTP/2.0" 400 157 "-" "-"

ifconfig查看本地docker环境的ip,发现nginx获取到的ip全部是docker的gateway的ip

docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.1  netmask 255.255.0.0  broadcast 172.17.255.255
        inet6 fe80::42:cbff:fe08:3af8  prefixlen 64  scopeid 0x20<link>
        ether 02:42:cb:08:3a:f8  txqueuelen 0  (以太网)
        RX packets 386170  bytes 1055243584 (1.0 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 398904  bytes 293451267 (293.4 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

原因分析

查了一下frp文档,文档中简单的说了下,需要在frpc.ini配置文件中 ,需要增加一行 proxy_protocol_version = v2,便可以开启记录真实ip的功能。

在frpc.ini中修改如下:

[http_web]
type = tcp
local_ip = 127.0.0.1
local_port = 7443
remote_port = 7443
# 目前支持 v1 和 v2 两个版本的 proxy protocol 协议。
proxy_protocol_version = v2

启frp,结果网站直接打不开了,建立连接失败,总感觉哪里少了些配置,网上翻了一遍,发现在nginx中还需要添加配置。
nginx是docker跑起来的服务,在listen段添加proxy_protocol,然后配置real_IP_header为 proxy_protocol,具体如下:

		#listen       443 ssl ;
		#listen       443 ssl http2 proxy_protocol;
		listen       443 ssl proxy_protocol; # 以上http2根据实际情况添加,个别环境不加会正确
		real_ip_header proxy_protocol;
  		real_ip_recursive on;
  		set_real_ip_from 172.17.0.1;

其中set_real_ip_from的ip为frp客户端的内网IP,我填写的是docker桥接网络的网关地址
好了,保存nginx的网站配置文件后,重启Nginx,再查看nginx的日志,就已经可以获取用户的真实IP地址了。
注意:这样配置之后会导致无法通过局域网ip访问nginx

效果:
如下没设置对之前打印docker网关地址,设置成功之后打印真实,切记listen 443 ssl http2 proxy_protocol;中http2择机设置

172.17.0.1 - - [30/Mar/2023:09:09:42 +0800] "GET / HTTP/1.1" 404 122 "-" "Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)"
172.17.0.1 - - [30/Mar/2023:09:09:52 +0800] "GET /gateway/modules/iot/environment/data/list HTTP/2.0" 200 56 "-" "curl/7.84.0"
172.17.0.1 - - [30/Mar/2023:09:10:49 +0800] "POST /iot/open/third/alarm HTTP/1.1" 499 0 "-" "Go-http-client/1.1"
182.xx.2x4.xx5 - - [30/Mar/2023:09:11:27 +0800] "GET /gateway/modules/iot/environment/data/list HTTP/1.1" 200 67 "-" "curl/7.84.0"
182.xx.2x4.xx7 - - [30/Mar/2023:09:11:31 +0800] "POST /iot/open/third/alarm HTTP/1.1" 200 105 "-" "Go-http-client/1.1"

实战

frp转发

http {
	# 黑名单
	#include blockips.conf;
    include       mime.types;
    default_type  application/octet-stream;
	underscores_in_headers on;#表示如果header name中包含下划线,则不忽略

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    gzip  on;
	#服务器的集群  
	upstream  www_demo {  #服务器集群名字   
		# ip_hash; # (通过客户端请求ip进行hash,再通过hash值选择后端server)
		# hash $request_uri; #(url_hash;通过请求url进行hash,再通过hash值选择后端server)
		server    192.168.0.55:7228  weight=10;#服务器配置   weight是权重的意思,权重越大,分配的概率越大。  
		server    127.0.0.1:7228 weight=1;  
		server    192.168.0.15:7228 backup; # 将该服务器标记为备份服务器,当主服务器不可用时,将用来传递请求
	} 

	server {
		#listen       7443 ssl ;
		listen       7443 ssl http2 proxy_protocol;
		real_ip_header proxy_protocol;
  		real_ip_recursive on;
  		set_real_ip_from 172.17.0.1;
		#黑名单
		include /etc/nginx/conf.d/port_7443.block;
		#server_name  127.0.0.1;
		charset utf-8;   #"没错就是这里"
		max_ranges 1; ## 禁用multipart range分片功能
	     ssl_certificate       /etc/nginx/ssl/frp.xx.biz_nginx/frp.xx.biz.pem;
		ssl_certificate_key   /etc/nginx/ssl/frp.xx.biz_nginx/frp.xx.biz.key;

		ssl_ciphers  HIGH:!aNULL:!MD5;
		ssl_prefer_server_ciphers  on;
		
		# 记录单独日志
		access_log  logs/7443.access.log;

		# 开始压缩
		gzip on;
		gzip_min_length 1k;
		gzip_comp_level 9;
		gzip_types text/plain text/s text/javascript application/json application/javascript application/x-javascript application/xml;
		gzip_vary on;
		gzip_disable "MSIE [1-6]\.";
		
		# 映射一个文件目录
		location /horizon/{
			alias   /usr/local/horizon/;
			sendfile on;
			autoindex on;  # 开启目录文件列表
			autoindex_exact_size on;  # 显示出文件的确切大小,单位是bytes
			autoindex_localtime on;  # 显示的文件时间为文件的服务器时间
			charset utf-8,gbk;  # 避免中文乱码
		}
		
		# 映射一个html前后单分离目录
		root /usr/local/nginx/www;
		
		location / {
			index  pc/index.html;
		}
		location /static {
			alias /usr/local/nginx/www/pc/static;
		}
		# 映射一个自定义json
		location /iot/update/check{
			default_type application/json;
			return 200 '{"code":0,"data":{"length":101895489,"version":"0.0.6"}}';
		}
		
		
		location /user {
			add_header Cache-Control 'no-store';
			# 设置请求体的最大值,影响上传文件大小
			client_max_body_size 100m;
			# 配置客户端ip为真实ip,否则在tomcat获取到的是nginx是ip, $remote_addr获取到上一级代理的IP
         	proxy_set_header X-Real-IP $remote_addr;
			proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
			proxy_set_header Host $http_host;
			proxy_set_header X-NginX-Proxy true;
        	proxy_set_header    X-Forwarded-Proto $scheme;
			#proxy_redirect      default;
			proxy_redirect off;
			# 下面两行支持websocket
			#proxy_http_version 1.1;
			#proxy_set_header Upgrade $http_upgrade;
			#proxy_set_header Connection $connection_upgrade;
			
			# Nginx与上游服务器尝试建立连接,后端服务器连接的超时时间_发起握⼿等候响应超时时间
			proxy_connect_timeout      1;
			# 用于读取上游服务器响应时,最长的读取等待时间,连接成功后_等候后端服务器响应时间_其实已经进如后端的排队之中等候处理(也可以说是后端服务器处理请求的时间)
			proxy_send_timeout         60;
			# Nginx向上游服务器传输数据时的超时时间
			proxy_read_timeout         60;
			proxy_pass http://www_demo;
		}    
		   
	}

多层nginx转发

# 如果多层nginx转发,则注意如下配置:
		location ~ ^/(api_v1|share|open_v1|wx|ws|s|p)/.*$ {
			add_header Access-Control-Allow-Origin *;   #添加跨域访问
			add_header Access-Control-Allow-Headers X-Requested-With;
			proxy_pass http://www_sgb_test;
			proxy_set_header X-Forwarded-Proto $scheme;
			proxy_set_header Host $host;
			proxy_set_header Referer $http_referer;
			#proxy_set_header X-Real-IP $remote_addr;#// 由于clb转发,所以这里不需要再设置
			proxy_set_header X-Real-Port $remote_port;
			proxy_set_header X-Real-User $remote_user;
			#proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;#// 由于clb转发,所以这里不需要再设置
			#set_real_ip_from 192.168.0.44;
			#real_ip_recursive on;
			#real_ip_header X-Forwarded-For;
			proxy_http_version 1.1;
			proxy_set_header Upgrade $http_upgrade;
			proxy_set_header Connection "upgrade";
			proxy_connect_timeout   1;
			proxy_buffering off;
			chunked_transfer_encoding off;
			proxy_cache off;
			proxy_send_timeout      3m;
			proxy_read_timeout      3m;
			client_max_body_size    1000m;
		}

黑名单

配置ip清单

在conf文件夹下面新建blockips.conf
填入如下内容

#添加黑名单IP
deny 42.236.10.0/24;
# deny 58.59.219.11;
deny 180.163.220.0/24;

说明:

# 屏蔽单个ip访问
#deny IP;
## 允许单个ip访问
#allow IP;
## 屏蔽所有ip访问
#deny all;
## 允许所有ip访问
#allow all;
##屏蔽整个段即从123.0.0.1到123.255.255.254访问的命令
#deny 123.0.0.0/8
##屏蔽IP段即从123.45.0.1到123.45.255.254访问的命令
#deny 124.45.0.0/16
##屏蔽IP段即从123.45.6.1到123.45.6.254访问的命令
#deny 123.45.6.0/24

开启黑名单

在http或者server或者具体的location中配置如下即可:

include blockips.conf;

配置参考

nginx限流和黑名单

Nginx限流和黑名单配置
https://www.csdn.net/tags/NtjaEgzsODQ0OTctYmxvZwO0O0OO0O0O.html

hash_ip

https://blog.csdn.net/li1325169021/article/details/119429683

frp转发获取真实ip

https://www.psay.cn/toss/183.html

Blueeyedboy521
关注
专栏目录
docker-compose php7.3.4-fpm+nginx+mysql配置
09-07
docker-compose php7.3.4-fpm+nginx+mysql配置
docker 容器获取真实ip地址
qq_43120080的博客
12-07 2650
踩坑+1
docker部署nginx,java获取真实ip/客户端真实ip
weixin_40769819的博客
04-10 660
(3条消息) Kubernetes获取客户端真实IPdocker部署nginx获取真实ip/客户端真实ip)_docker获取客户端真实ip_wuychn的博客-CSDN博客
揭秘!GoAccess日志神器精准揪出网络爬虫,一键拉黑用户代理,让我看看谁家爬虫这么明目张胆?
最新发布
雪之梦技术驿站
08-04 1364
最近服务器安装了GoAccess分析日志,每天都有新发现,看到Crawler占比有点大,还是要搞清楚哪些是非法爬虫,那些是可以接受的爬虫.操作系统操作系统排序按 [点击量, 平均响应时, 总共响应时, 最高响应时]浏览器浏览器排序按 [点击量, 平均响应时, 总共响应时, 最高响应时]通过上述面板均可发现有不少Crawler爬虫类,点开还能看到具体的明细,这样就好办了.看谁不爽拉黑谁!本文主要介绍了如果利用GoAccess分析出异常浏览器,识别出爬虫分类,基于互联网公开资料有选择性拉黑某些恶意爬虫.
FRP内网穿透获取真实IP
qq_38154271的博客
09-06 2612
一般通过FRP内网穿透获取ip地址都是127.0.0.1,如果我们想获取当前期用户的真实IP。我们就算在nginx设置了【proxy_set_header X-Real-IP $remote_addr;】也会在frp穿透时被覆盖。所以我们换个思路,可以在nginx里面自定义一个参数在请求头里面来存储真实IP,并传递给内网,这样可以获取到请求用户的真实IP。配置好以后,代码就可以直接从请求头里面获取到用户真实IP
Kubernetes获取客户端真实IPdocker部署nginx获取真实ip/客户端真实ip
wuychn
01-26 3506
一、没有使用Istio的情况(需要关闭Istio): 1、Service的类型为NodePort: 把相应的Service的externalTrafficPolicy改为Local,默认为Cluster。但是需要使用pod所在节点的ip进行访问,不能使用集群中其他的ip(设置 service.spec.externalTrafficPolicy 为 Local 会将请求代理到本地端点,不将流量转发到其他节点,从而保留原始IP地址。)。 https://www.codercto.com/a/82398.
Docker部署Nginx无法获取客户端真实ip地址
cxxuzsnb123的博客
11-03 4562
docker部署nginx,请求无法获取客户端真实ip
Docker+Frp+NGinx+云服务器 实现HTTPS内网穿透
buhghb68ty7的博客
10-31 1005
Docker+Frp+NGinx+云服务器 实现HTTPS内网穿透
nginx+ffmpeg+nginx-http-flv-module+html资源包
05-11
1. **Nginx**: Nginx是一款高性能的Web服务器,也常被用作反向代理、负载均衡器和邮件服务器。它的事件驱动模型和非阻塞I/O机制使其在高并发环境下表现优秀。在本资源包中,提供的`nginx-1.20.2.tar.gz`是Nginx的...
nginx+lua+docker+docker-compose实现简单服务分发
09-03
nginx+lua+docker+docker-compose实现简单服务分发
nginx-proxy:使用docker-gen的Docker容器的自动nginx代理
02-02
用法要运行它: $ docker run -d -p 80:80 -v /var/run/docker.sock:/tmp/docker.sock:ro jwilder/nginx-proxy然后使用env var VIRTUAL_HOST=subdomain.youdomain.com启动要代理的任何容器$ docker run -e VIRTUAL_...
koa-cra-dockerdocker + nginx + create-react-app + koa + mongodb + mongoose
02-03
koa-cra-docker 正在安装 git clone https://github.com/isychev/koa-cra-docker.git cd koa-cra-docker npx create-react-app frontend docker-compose up // append demo.local to etc/hosts open ...
Docker中Swarm的Overlay网络无法获取原始IP解决方案
baidu_38956956的博客
12-30 1016
解决Docker中Swarm集群无法获取请求原始IP
docker:Java通过nginx获取客户端真实ip地址
闫玉林的博客
01-18 2263
Nginx配置中,指令是用于定义向代理服务器传递的请求头字段。该指令专门用于location块中,并且通常配合proxy_pass指令一起工作,proxy_pass指令定义了代理服务器的协议和地址。基本上,当Nginx作为反向代理服务器时,客户端的请求首先到达Nginx,然后Nginx将这些请求转发到后端的上游服务器。在转发请求时,Nginx可以设置或修改请求头。指令正是用来进行这样的设置或修改。下面是几个传递主机名- 将客户端请求的原主机头信息传递到上游服务器。传递真实IP地址。
内网穿透工具frp的使用
qq_33479841的博客
04-28 2362
1.什么是内网穿透 内网穿透的具体含义大家可以自行去搜索一下,阅读并理解一下。比较通俗的解释就是将内网内部的利用某种技术反向映射出来,让外部可以进行访问。目前较为通用的方法就是动态域名或反向代理技术来进行实现。本文将介绍基于frp的反向代理技术。 2.frp是什么 frp(Fast Reverse Proxy)是一个利用go语言开发的高性能反向代理应用,可以轻松实现内网穿透frp支持多种协议,包...
Docker部署下的NGINX负载均衡,无法获取用户真实IP解决方案
灵壹Eli的博客
05-26 1167
使用Docker版本的NGINX部署项目是,发现获取到的IP为服务器IP无法获取用户的真实IP
亲测使用frp获得访问者真实ip
tiging的博客
05-25 1131
你会看见listen这个单词,在每个listen的末尾(也就是";注意:x.x.x.x为frp客户端ip地址,一般填写127.0.0.1。怎么访问都只有127.0.0.1这个内网ip,获取不到访问者的真实ip。这时,你会发现网站打不开了,这里需要在网站配置文件中修改。1.打开frp的配置文件(一般是frpc.ini)依次点击网站-设置(前提你创建了网站)-配置文件。在每一个http或https隧道中添加。2.打开宝塔面板(打开网站配置文件)然后在root后添加下列代码。注意离前面一个有空格。
frp使用教程:安装及各种配置示例
学亮编程手记
09-25 3322
有时想要让其他人通过域名访问或者测试我们在本地搭建的 web 服务,但是由于本地机器没有公网 IP无法将域名解析到本地的机器,通过 frp 就可以实现这一功能,以下示例为 http 服务,https 服务配置方法相同, vhost_http_port 替换为 vhost_https_port, type 设置为 https 即可。修改 frps.ini 文件,设置 http 访问端口为 8080:# frps.ini[common]启动 frps;
docker内的服务无法获取用户真实IP
淡烟疏雨的博客
07-08 5479
问题背景: 我们的server运行在docker内,web运行在Nginx内(Nginx运行在docker内),因此客户端并不是直接访问到服务端的,而是客户端首先请求到反向代理,反向代理再转发到服务端实现服务访问,通过反向代理实现路由/负载均衡等策略。这样一来在服务端拿到的客户端IP将是反向代理IP,而不是真实客户端IP,所以需要一种办法来获取真实客户端IP。 解决方案 配置Nginx文件 server { listen 80; server_name localhost;
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值