Nginx服务(7)——Nginx 反向代理获取源地址(客户端ip)

最新推荐文章于 2023-10-31 18:10:42 发布
最新推荐文章于 2023-10-31 18:10:42 发布
阅读量6.4k 收藏 7
点赞数
分类专栏: Linux企业实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CapejasmineY/article/details/104300349
版权

一、前言

1、Nginx反向代理获取客户端的真实IP原理

我们访问互联网的服务时,大多数时,客户端并不是直接访问到服务端的,而是客户端首先请求到反向代理,反向代理再转发到服务端实现服务访问。

客户端访问服务端的数据流走向
Client(172.25.0.1) --> ADSL( 192.168.0.1) --> cdn(10.0.0.1) --> SLB(反向代理)11.0.0.1 --> server(nginx)12.0.0.1

可以看出,nginx的反向代理实现跨域的同时也彻底改变了服务器的请求来源,隔离了用户和服务器的连接,服务端获取不到真实的客户端ip,只能获取到反向代理服务的ip,那么nginx怎样才能获取到真实的ip呢?

利用Nginx中的realip模块获取用户的真实ip 。将各层代理的IP排除在外,就取到了真实的用户IP,这个可以使用nginx的一个模块realip_module 来实现从XFF中抛弃指定的代理层 IP,得到一个符合规则的就是用户IP 。 nginx的 realip_module 模块需要在编译nginx的时候加上参数–with-http_realip_module。

2、nginx中的几个变量?

(1)remote_addr
代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的
当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器(Nginx,Apache等)
就会把remote_addr设为你的机器IP,如果你用了某个代理,那么你的浏览器会先访问这个代理,然后再由这个代理转发到网站
这样web服务器就会把remote_addr设为这台代理机器的IP,除非代理将你的IP附在请求header中一起转交给web服务器

(2)X-Forwarded-For(简称XFF)
X-Forwarded-For 是一个 HTTP 扩展头部,HTTP协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入
用来表示 HTTP 请求端真实 IP,如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用
并被写入 RFC 7239(Forwarded HTTP Extension)标准之中
XFF的格式为X-Forwarded-For: client, proxy1, proxy2

XFF 的内容由「英文逗号 + 空格」隔开的多个部分组成,最开始的是离服务端最远的设备 IP,然后是每一级代理设备的 IP
(注意:如果未经严格处理,可以被伪造)
如果一个 HTTP 请求到达服务器之前,经过了三个代理 Proxy1、Proxy2、Proxy3,IP 分别为 IP1、IP2、IP3,用户真实 IP 为 IP0
那么按照 XFF 标准,服务端最终会收到以下信息
X-Forwarded-For: IP0, IP1, IP2
Proxy3 直连服务器,它会给 XFF 追加 IP2,表示它是在帮 Proxy2 转发请求
列表中并没有 IP3,IP3 可以在服务端通过 Remote Address 字段获得

(3)X-Real-IP
这又是一个自定义头部字段,通常被 HTTP 代理用来表示与它产生 TCP 连接的设备 IP
这个设备可能是其他代理,也可能是真正的请求端,这个要看经过代理的层级次数或是是否始终将真实IP一路传下来
(注意:如果未经严格处理,可以被伪造)

二、实现Nginx 反向代理获取源地址

实验环境
主机名ip功能
server1172.25.1.1nginx服务器
server2172.25.1.2nginx代理服务器
真机172.25.1.250客户端,用来测试
实验
1、获取客户端ip

在server1(服务端)
步骤一:进入解压目录,重新编译,添加realip_module模块,并进行make编译

cd nginx-1.17.8
./configure --prefix=/usr/local/nginx --with-file-aio --with-http_realip_module   # 添加了一个获取realip的模块
make

在这里插入图片描述在这里插入图片描述
步骤二:覆盖ngins文件

cd objs/
cp -f nginx /usr/local/nginx/sbin/nginx

在这里插入图片描述
步骤三:添加虚拟主机
写到配置文件最后边

vim /usr/local/nginx/conf/nginx.conf

server {   \
        listen 80;
        server_name server1.example.com; # 添加域名
 
        location / {
                return 200 "client real ip: $remote_addr\n";
        }
}

在这里插入图片描述

$remote_addr:代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,并不是真实客户端IP;
当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器(Nginx,Apache等)就会把remote_addr设为你的机器IP,如果你用了某个代理,那么你的浏览器会先访问这个代理,然后再由这个代理转发到网站,这样web服务器就会把remote_addr设为这台代理机器的IP,,除非代理将你的IP附在请求header中一起转交给web服务器

重启服务:

nginx -s reload

在这里插入图片描述

步骤四:测试虚拟主机是否添加成功

 curl -I server1.example.com

在这里插入图片描述
200 ok表示添加成功
步骤五:测试让其回应real ip

curl server1.example.com

在这里插入图片描述

步骤六:从X-Forwarded-For中获取到真实客户端IP

vim /usr/local/nginx/conf/nginx.conf

server {   \
        listen 80;
        server_name server1.example.com; # 添加域名
        set_real_ip_from 172.25.1.1; # 真实服务器上一级代理的IP地址或者IP段,可以写多行
        real_ip_header X-Forwarded-For; # 告知Nginx真实客户端IP从哪个请求头获取
        real_ip_recursive on;  # 是否递归解析,off表示默认从最后一个地址开始解析,on表示从第一个地址解析

        location / {
                return 200 "client real ip: $remote_addr\n";
        }
}

重启服务

nginx -s reload

在这里插入图片描述
步骤七:测试real_ip_recursive作用
当real_ip_recursive 为on时,服务端从X-Forwarded-For中获取第一个地址
在这里插入图片描述

curl -H "X-Forwarded-For:1.1.1.1,172.25.1.1" server1.westos.org

在这里插入图片描述
当real_ip_recursive 为off时,服务端从X-Forwarded-For中获取到的最后一个地址

在这里插入图片描述

curl -H "X-Forwarded-For:1.1.1.1,172.25.1.1" server1.example.com

在这里插入图片描述

测试完,将参数改为on
步骤八:编辑默认发布页面

vim /usr/local/nginx/html/index.html 
<h1>server1 page</h1>
nginx -s reload

在这里插入图片描述
步骤九:修改配置文件,注释掉测试内容,并添加默认发布页面内容。

vim /usr/local/nginx/conf/nginx.conf
        #location / {
        #        return 200 "client real ip: $remote_addr\n";
        #}

在这里插入图片描述 注意:将文件http大括号中的server大括号中的内容全部注释掉,写成图中所示内容
步骤十:语法检测并重启

nginx -t
nginx -s reload

在这里插入图片描述

步骤十一:将server1上编译好的nginx的目录发送给server2

scp -r /usr/local/nginx/ root@server2:/usr/local/

在这里插入图片描述
在server2(代理服务器)上
步骤一:修改配置文件中对server1服务器的相关配置

        upstream westos {
                server 172.25.1.1:80;
        }

server {
        listen  80;
        server_name  www.westos.org;
        set_real_ip_from 172.25.1.2;

        location / {
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://westos;

        }
}

注意:将文件http大括号中的server大括号中的所有内容注释掉,写成图中所示内容

在这里插入图片描述
步骤二:创建nginx用户

useradd nginx

在这里插入图片描述
步骤三:清空nginx默认发布文件

cd /usr/local/nginx/html/
> index.html

在这里插入图片描述
步骤四:检查语法,并启动nginx服务

/usr/local/nginx/sbin/nginx -t
/usr/local/nginx/sbin/nginx

在这里插入图片描述
在真机上(客户端)
步骤一:添加serever2解析

vim /etc/hosts
172.25.1.2  www.westos.org

在这里插入图片描述

步骤二:curl访问server域名

curl www.westos.org

在这里插入图片描述
可以查看到server1默认发布页面内容,说明nginx反向代理配置成功
在server1(服务端)上

cd /usr/local/nginx/logs
cat access.log

在这里插入图片描述
可以看出nginx服务器可以直接得到客户端的ip

2、获取代理ip

步骤一:修改配置文件

在刚才配置的基础上,注释掉nginx服务器的这两行时,获取到的ip就是代理服务器的ip

#real_ip_header X-Forwarded-For;
#real_ip_recursive on;

在这里插入图片描述
步骤二:检测语法规范,并开启服务

nginx -t
nginx -s reload

在这里插入图片描述
在真机上(客户端)
curl访问server域名

curl www.westos.org

在这里插入图片描述

在server1(服务端)上

cd /usr/local/nginx/logs
cat access.log

在这里插入图片描述 此时nginx服务器得到的是代理的ip

CapejasmineY
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Laravel Trusted Proxies:用于在负载均衡器后面处理会话的 Laravel 代理包-开源
08-09
设置可信代理允许在负载均衡器或缓存等反向代理后面时正确生成 URL、重定向、会话处理和登录 Laravel。 Laravel 5.5+ 自带这个包。 如果您使用的是 Laravel 5.5 或更高版本,则无需单独将其添加到您的项目中。 设置可信代理允许在反向代理后面时正确的 URL 生成、重定向、会话处理和登录 Laravel。 如果您的 Web 服务器位于负载均衡器(Nginx、HAProxy、Envoy、ELB/ALB 等)、HTTP 缓存(CloudFlare、Squid、Varnish 等)或其他中间(反向)代理之后,这将非常有用。 Laravel(从技术上讲是 Symfony HTTP 基类)有一个“可信代理”的概念,其中那些 X-Forwarded 标头只有在请求的源 IP 地址已知时才会使用。 换句话说,如果代理受信任,它只信任这些标头。
学习笔记 - Nginx在多层代理下获取真实客户端IP地址
weixin_30344795的博客
02-03 2265
最近在研究nginx中如何获取真实客户端IP的方法。众所周知,在编译Nginx时,可通过添加http_realip_module模块来获取真实客户端IP地址。何为真实IP地址呢?请看下图,既获取到的真实客户端IP是101,既不是正向代理服的104,也不是反向代理的105。 我们以PHP为例来说明整个过程吧。 前期准备: 在/home/apps/realip.com/下新建index...
nginx v1.5.9 for windows 源程序
03-27
Nginx for Windows v1 5 9 source code Nginx是一款轻量级的Web服务反向代理服务器及电子邮件IMAP POP3)代理服务器 并在一个BSD like 协议下发行 Nginx由俄罗斯的程序设计师Igor Sysoev所开发 可供大型的门户网站及搜索引擎使用 Nginx是一个很强大的高性能Web和反向代理服务器 它具有很多非常优越的特性 Nginx可以在大多数 Unix like OS 上编译运行 在Linux和unix上分别采用epoll和kqueue网络模型 能够支持高达 50 000 个并发连接数的响应(实际上可能更大) Nginx支持与客户端建立SSL安全连接 因此可以作为SSL安全网关使用 Nginx有Windows移植版 在Windows平台上支持select和iocp两种网络IO模型 在Windows平台上 Nginx的表现可能没有在其它平台上那么优秀 从目前的版本看 Nginx主要有以下几点可能需要改进的地方: 1 Nginx采用多进程并行处理的运行方式 不支持多线程(似乎各平台下都不支持多线程) 2 在Windows下 只支持select和iocp两种网络IO模型 其中iocp模型虽然可以支持高并发连接 但目前版本的iocp只支持Web服务器(有的版本使用iocp作WEB服务器都跑不通) 不支持反向代理服务器 更不支持SSL连接;而select模型不能支持高并发连接 如果要实现高并发 必须使用非常多的进程 3 由于Windows vista之后版本的共享内存在不同进程中的地址不同 因此 在启用多进程时 不能使用共享内存来做SSL的session缓存 也就是说 要实现SSL 只能使用单进程 从而限制了并发连接数 (造成这种结果的原因 可能是作者对Nginx在Windows平台下的应用不太重视 在共享内存中使用了绝对地址指针 如果改成相对地址偏移则可避免) 笔者试图突破上面的限制 在 Nginx v1 5 9 的基础上作了三点改进: 1 完善iocp模型 使其能够支持代理服务器 2 增加wsa网络IO模型(Windows socket异步IO模型) 该模型支持WEB服务反向代理服务器和SSL安全连接 与Linux下的epoll具有同等的功能和效率 3 增加Windows和Linux平台下的多线程支持(Unix下尚未实现) 多线程可支持select epoll wsa和iocp网络IO模型 并支持SSL连接 通过上述改进 Nginx在Windows平台下的性能得到大幅提高 其并发连接数一般情况下可达到10万以上 最多可达到40万个 如何使用wsa网络IO模型 与使用iocp模型类似 在配置文件中 增加配置项: use wsa; 如何使用多线程 在配置文件中 增加配置项: worker threads 50; 线程数最大128 nginx v1 5 9 win src在vs2008环境下开发 笔者邮箱: xiong rh@sina com">Nginx for Windows v1 5 9 source code Nginx是一款轻量级的Web服务反向代理服务器及电子邮件IMAP POP3)代理服务器 并在一个BSD like 协议下发行 Nginx由俄罗斯的程序设计师Igor Sysoev所开发 可供大型的门户网站及搜索引擎使用 [更多]
SSLIVE2020-Special:带烧瓶的SSLIVE网站的源代码
03-26
SSLIVE2020-特殊 使用python烧瓶而不是PHP 使用(html + javascript + CSS)前端+(烧瓶+ gevent)python前端+(nginx)负载均衡和反向代理,替换单个的php做替代 原仓库(原始网址): : SSLIVE网站网址的源代码:( )或( ) 该存储库中的所有源代码(除了mdl,src / lib /和console / lib /文件夹中的代码)均由广东省实验中学学生会信息技术科编写。 网站地址:( )或( ) 所有的代码(除了src / lib /,console / lib /以及mdl文件夹里的代码)都由广东实验中学学生会信息部编写。 Windows启动方式 Win+R cmd,在里面用cd进入/ Win路径,然后start nginx 然后点开/Win下的启动脚本.bat脚本启动脚本.bat ,不要关掉这个窗口 如
1-Nginx介绍及安装(源码安装)
z19861216的博客
07-05 1411
1-Nginx介绍及安装(源码安装)
nginxNGINX获取客户端源地址
weixin_39120210的博客
03-16 481
只要nginx前端(例如lvs, varnish)转发请求给nginx的时候,带了x-forwarded-for ,那么程序就一定能读到这个字段,如果nginx还设置了proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for, 那么程序能读到XFF是:ip0, ip1 (客户端Ip,lvs或者varnishIP)。X-Real-Ip 通常被 HTTP 代理用来表示与它产生 TCP 连接的设备 IP,这个设备可能是其他代理,也可能是真正的请求端。
nginx——如何访问源地址(即获取用户的ip地址)
weixin_21583810的博客
05-04 6684
文章目录
nginx系列(三)----如何让nginx获得源地址
Chen的博客
10-17 2701
背景 通常上网访问路径(比如说用阿里云主机): client(172.25.10.2) --> ADSL(拨号上网192.168.0.1) --> cdn(10.0.0.1) --> SLB(阿里云负载11.0.0.1) --> nginx(12.0.0.1) 上面的ip都是虚拟ip,不是真实的 本实验需要两个都配置nginx环境的虚拟主机,我们用server1做代理,se...
Nginx代理后获取客户端真实IP地址
weixin_45151960的博客
03-21 8103
但是当我们使用Nginx反向代理项目地址后,使用以上方法只能获取Nginx服务器的IP地址,并不是客户端IP地址。在项目实际应用中,我们可能会需要获取到用户也就是客户端的真实IP地址,比如记录系统操作日志等情况。语法就是允许重新定义或者添加发往后端服务器的请求头,所以在 java端,需要获取。解决方法很简单,同样也是在Nginx中进行配置,然后在Java中获取即可。getHeader()中的参数名就是nginx.conf中配置的名字。的,而我们客户端IP地址信息一般都是存储在请求头里的。
从零开发短视频电商 Nginx反向代理后如何获取用户的真实IP
laker的博客
03-31 1790
当使用反向代理服务器时,Web服务器将无法直接获取到用户的真实IP地址,而只能看到反向代理服务器的IP地址。这是因为反向代理服务器作为中间人,将请求代理给了Web服务器,因此Web服务器只能看到代理服务器的IP地址。如果服务器前面没有网关或者nginx反向代理,我们可以用下面的代码获取用户的真实IP。当使用此方式获取来访者真实IP时,获取的第一个地址就是来访者真实IP。去获取,可能获取的是不可信的,因为用户可以修改header。获取到与服务器本身直连的上层请求ip,所以。表示客户端真实的IP
详解Nginx反向代理实现会话(session)保持的两种方式
01-10
ip_hash使用源地址哈希算法,将同一客户端的请求总是发往同一个后端服务器,除非该服务器不可用。 ip_hash语法: upstream backend { ip_hash; server backend1.example.com; server backend2.example.com; ...
详解Nginx反向代理WebSocket响应403的解决办法
01-10
Nginx反向代理一个带有WebSocket功能的Spring Web程序(源代码地址 )时,发现访问WebSocket接口时总是出现403响应,Nginx的配置参考的是 官方文档 : http { // ssl 相关配置 ... map $http_upgrade $...
nginx 获取远程地址
aabbcc456aa的专栏
05-19 1494
nginx 获取远程地址: 14     location / {  15         proxy_redirect off;  16         proxy_set_header  HTTP_X_FORWARDED_FOR $http_x_forwarded_for;  # 代理链  17         proxy_set_header  X-Forwarded-Hos
Nginx如何保留真实IP获取前端IP
weixin_33690367的博客
03-16 200
原理: squid,varnish以及nginx等,在做反向代理的时候,因为要代替客户端去访问服务器,所以,当请求包经过反向代理后,在代理服务器这里这个IP数据包的IP包头做了修改,最终后端web服务器得到的数据包的头部的源IP地址是代理服务器的IP地址,这样一来,后端服务器的程序给予IP的统计功能就没有任何意义,所以在做代理或集群的时候必须解决这个问题,这里,我以ngin...
获取客户端IP地址(过滤代理)
不积跬步无以至千里,不积小流无以成江河
11-20 970
下面的工具, 能满足绝大部分应用环境,但并不是百分百。 //获取ip public static String getIpAddress(HttpServletRequest request) { String ip = null; //X-Forwarded-For:Squid 服务代理 String ipAddresses =...
不同源安装nginx
最新发布
Mortalz7
10-31 321
Nginx是一款高性能的Web服务器软件。在安装Nginx时,可以选择不同的安装源。 无论是哪种安装源,都有其优势和限制,需要根据实际情况选择适合自己的。
nginx 代理yum源,供内网使用
qq_39677803的博客
09-14 2169
我这个nginx配置yum,供内网使用,已经验证,完全可用
只需两行配置,Nginx 即可快速获取客户端公网 IP 的神技,你掌握了吗?
easylife206的专栏
11-16 2223
本文将给大家介绍一个 Nginx 的小技巧,可以在不使用任何编程语言的情况下,直接返回客户端公网 IP 地址。实现方法非常的简单,你只要在 Nginx 中配置以下内容就可以解决问题。location /ip { default_type text/plain; return 200 $remote_addr; }使用 curl 命令测试一下,我们从响应结果可以看到只显示了客户...
nginx反向代理yum源
06-02
可以通过以下步骤配置nginx反向代理yum源: 1. 安装nginx和createrepo软件包 ``` yum install nginx createrepo -y ``` 2. 创建yum源目录并拷贝rpm包到该目录下 ``` mkdir /usr/share/nginx/html/yum cp /path/to/rpm/*.rpm /usr/share/nginx/html/yum/ ``` 3. 创建yum源 ``` createrepo /usr/share/nginx/html/yum/ ``` 4. 配置nginx反向代理 编辑nginx配置文件 /etc/nginx/nginx.conf,在http块中添加以下内容: ``` server { listen 80; server_name yum.example.com; # 修改为你的域名或IP location / { proxy_pass http://127.0.0.1:8080; # 修改为你的yum源地址 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } ``` 5. 重启nginx服务 ``` systemctl restart nginx ``` 6. 在客户端上配置yum源 编辑 /etc/yum.repos.d/yum.repo 文件,添加以下内容: ``` [yum] name=yum baseurl=http://yum.example.com enabled=1 gpgcheck=0 ``` 7. 测试yum源是否可用 执行以下命令: ``` yum clean all yum makecache yum search package-name ``` 如果能搜索到对应的软件包,则说明yum源已经配置成功。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值