多级代理下Nginx获取真实用户IP地址的总结

最新推荐文章于 2024-10-08 11:42:35 发布
最新推荐文章于 2024-10-08 11:42:35 发布
阅读量1.5w 收藏 6
点赞数 1
分类专栏: nginx 文章标签: nginx获取用户IP http_realip_module
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abc86319253/article/details/44492985
版权
本文介绍了在Nginx作为多级代理时,如何通过自定义IP头、HTTP_X_FORWARDED_FOR以及使用realip模块来获取用户的真实IP地址,同时讨论了防止XFF欺骗的方法和realip模块的工作原理。
摘要由CSDN通过智能技术生成

声明:本文参考http://www.ttlsa.com/nginx/nginx-get-user-real-ip/并做了一些补充讲解,希望会更加清晰明了~


随着nginx的迅速崛起,越来越多公司将apache更换成nginx. 同时也越来越多人使用nginx作为负载均衡, 并且代理前面可能还加上了CDN加速,但是随之也遇到一个问题:nginx如何获取用户的真实IP地址,如果后端是apache,请跳转到<apache获取用户真实IP地址>,如果是后端真实服务器是nginx,那么继续往下看。

实例环境:
用户IP 120.22.11.11
CDN前端 61.22.22.22
CDN中转 121.207.33.33
公司NGINX前端代理 192.168.50.121(外网121.207.231.22)

1、使用CDN自定义IP头来获取

假如说你的CDN厂商使用nginx,那么在nginx上将$remote_addr赋值给你指定的头,方法如下:

proxy_set_header remote-user-ip $remote_addr;

//如上,后端将会收到remote_user_ip的http头,有些人可能会挑错了,说我设置的头不是remote-user-ip吗,怎么写成了remote_user_ip,是不是作者写错了.请参考文章:<nginx反向代理proxy_set_header自定义header头无效>

后端PHP代码getRemoteUserIP.php

<?php
    $ip = getenv("HTTP_REMOTE_USER_IP");
    echo $ip;   
?>

访问getRemoteUserIP.php,结果如下:

120.22.11.11 //取到了真实的用户IP

注:这里$remote_addr是nginx的变量,一般情况是,是报文发送方的IP地址,如果发送方为proxy,那么这里就是proxy的ip,而非用户的真实ip.

注意:这里面会有一个问题,就是所谓的XFF欺骗,当用户直接访问后端的时候,并且他伪造了HTTP报头REMOTE_USER_IP,那么后端获取到的,将是一个虚假的用户IP,这个时候可能会产生一些安全问题。如果可以,建议的做法是:后端服务不允许对外部用户访问,最前端的代理,proxy_set_header xxxxx $remote_addr;这样就能解决欺骗,因为$remote_addr获取的是用户IP数据包中的IP,而非伪造的HTTP报文首部。

2、通过HTTP_X_FORWARDED_FOR获取IP地址

一般情况下CDN服务器都会传送HTTP_X_FORWARDED_FOR头。而且会用proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

这里,$proxy_add_x_forwarded_for是一个神奇的变量,假如接收到的报文已经含有X-FORWARDED-FOR首部,那么nginx将在后面添加上$remote_addr(也就是发送者的ip地址在最后),因此后端的真实服务器获取HTTP_X_FORWARDED_FOR头,截取字符串第一个不为unkown的IP作为用户真实IP地址, 例如:

120.22.11.11,  61.22.22.22,  121.207.33.33,192.  168.50.121(用户IP,CDN前端IP,CDN中转,公司NGINX代理)

getFor.php

<?php
    $ip = getenv("HTTP_X_FORWARDED_FOR");
最低0.47元/天 解锁文章
Shiftyman
关注
专栏目录
多级代理Nginx透传真实IP
executive
10-23 970
文章目录多级代理Nginx透传真实IPNginx RealIP获取真实IP 多级代理Nginx透传真实IP 1.基于代理(七层负载均衡)情况下 透传客户端的真实IP 环境:10.0.0.5 proxy_node1 一级代理10.0.0.6 proxy_node2 二级代理10.0.0.7 proxy_node3 三级代理10.0.0.8 webserver 真实节点 域名:www.lcc.co...
Nginx多级代理时,获取用户真实IP地址
weixin_41564401的博客
05-21 2023
在web服务器前面设置代理服务器时,从nginx模块中取$remote_addr值为上一级代理IP地址,而非真实客户端的IP地址。为了获取真实客户端IP地址,可以使用nginx自带的realip模块。此模块可将真实客户端IP地址设置进HTTP请求头中,以便后端的web服务器获取。 下面是一级代理 nginx + nginx 时的设置步骤示例: 第一步:安装realip模块 在nginx的安...
nginx经过多层代理获取真实来源ip过程详解
01-20
问题 nginx取 $remote_addr 当做真实ip,而事实上,$http_X_Forwarded_For 才是用户真实ip,$remote_addr只是代理上一层的地址 解决方案: 在 http 模块 加 set_real_ip_from 172.17.10.125; #上一层代理IP地址 real_ip_header X-Forwarded-For; real_ip_recursive on; 添加之后启动nginx报错: nginx: [emerg] unknown directive set_real_ip_from in /home/lnidmp/nginx/conf/
雷池+frp 批量设置proxy_protocol实现真实IP透传
最新发布
kkong1317的博客
10-08 593
内网部署safeline,通过frp让外网访问内部web网站服务,让safeline记录真实外网攻击IP
nginx多级代理配置获取客户端真实ip
qq_44659804的博客
03-13 2024
nginx多级代理配置获取客户端真实ip
Nginx多次代理获取真实用户IP访问地址
小左的博客
02-29 2017
需求:记录用户操作记录,类似如下表格的这样PS: 注意无论你的服务是Http访问还是Https 访问的都是可以的,我们服务之前是客户只给开放了一个端口,但是既要支持https又要支持http协议,nginx 是可以通过stream 模块配置双协议支持,但是stream块是四层协议,无法获取真实用户IP地址,后来把http协议关闭了,才能继续获取IP地址,如果有类似的情况可以检查是不是也有stream块配置。我们是从外网穿透到内网的,真实链路如下外网Nginxfill:#333;
学习笔记 - Nginx在多层代理获取真实客户端IP地址
weixin_30344795的博客
02-03 2319
最近在研究nginx中如何获取真实客户端IP的方法。众所周知,在编译Nginx时,可通过添加http_realip_module模块来获取真实客户端IP地址。何为真实IP地址呢?请看下图,既获取到的真实客户端IP是101,既不是正向代理服的104,也不是反向代理的105。 我们以PHP为例来说明整个过程吧。 前期准备: 在/home/apps/realip.com/下新建index...
Nginx多级代理统计客户端真实ip
钻石
10-06 950
前提概述:          由于普通反向代理没加proxy_set_header X-Real-IP   $remote_addr; 后端服务器统计ip来源时显示的是前一个代理服务器的ip地址,比如109.1访问109.139没设置上面代理语句,后端109.140日志记录访问ip来源是109.139而不是真正的109.1 。 实验环境:          设置第一个代理服务器192....
nginx多级代理设置获取真实IP地址
09-25
关于nginx多级代理设置获取真实IP地址的问题,可以通过设置X-Forwarded-For头信息来获取客户端的真实IP地址。在nginx的配置文件中,可以添加如下代码: ``` set_real_ip_from 192.168.1.0/24; real_ip_header X-...
多级nginx反向代理,如何获取客户端真实IP
zongyue_wang的博客
08-06 1145
1、Nginx Proxy直接把请求往后转发,没有做任何处理。 Nginx Proxy 10.10.107.107 nginx.conf location /test { proxy_pass http://10.10.107.112:8080; } 10.10.107.112 nginx.conf location /test { proxy_pass http://10.10....
NGINX多级代理客户IP传递
lht
05-22 132
set  $my_x_real_ip ""; if ($http_x_real_ip ~ "^$") {         set $my_x_real_ip $remote_addr; } if ($my_x_real_ip ~ "^$") {         set $my_x_real_ip $http_x_real_ip; } proxy_set_header       ...
多级代理Nginx 透传真实 IP
老实人张大傻
08-31 608
文章目录Nginx Web Server 依赖模块Nginx Web Server 配置Nginx 代理配置日志查看参考 主机 功能 192.168.8.122 Nginx 代理 10.10.200.176 Web Server Nginx Web Server 依赖模块 # 加载 realip 模块 ./configure --with-http_realip_module Nginx Web Server 配置 [dev@hessian01 conf.d]$ cat test_
Nginx多级代理透传真是IP
L596462013的博客
06-19 2443
【代码】Nginx多级代理透传真是IP
多级 Nginx 传递客户端 IP
soyo的专栏
05-18 176
因为架构的需要采用多级 Nginx 反向代理,但是后端的程序获取到的客户端 IP 都是前端 NginxIP,问题的根源在于后端的 NginxHTTP Header 中取客户端 IP 时没有取对正确的值。 同样适用于前端是 Squid 或者其他反向代理的情况。       首先前端的 Nginx 要做转发客户端 IP 的配置 : location / {   ...
多级nginx代理获取客户端真实ip
weixin_30896825的博客
09-16 546
今天服务里的微信公众号支付业务突然不能用了,报错为网络环境未能通过安全验证,请稍后再试。检查后端日志,没有任何问题,看来是成功创建支付订单,但是调起支付时出现了问题。上网查了一下,这个报错的直接原因是传入的客户端ip与调起支付的ip不符。但是印象中我在代码中获取的是X-Forwarded-For,就是请求来源的客户端IP,就查看日志发现传给微信的ip为172.17.0.1,也就是宿主机ip,这是才...
Nginx实现多级反向代理客户端IP透传
一直在努力学习的菜鸟
04-06 8763
Nginx实现多级反向代理客户端IP透传 反向代理配置参数 proxy_pass; #用来设置将客户端请求转发给的后端服务器的主机,可以是主机名(将转发至后端服务做为主机头首部)、IP地址:端口的方式 #也可以代理到预先设置的主机群组,需要模块ngx_http_upstream_module支持 proxy_hide_header field; #用于nginx作为反向代理的时候,在返回给客户端http响应时,隐藏后端服务器相应头部的信息,可以设置在http,server或location块 proxy_
Nginx多层反向代理透传客户端真实IP
weixin_34192732的博客
08-04 4555
Nginx的反向代理能非常强大,可以配置多层反向代理,多层代理中最关心的就是客户端IP的信息传递情况,当我们遇到问题后,分析日志是解决问题最有效的途径之一,涉及代理时我们肯定会分析源IP,目标IP等信息,查看相关的异常。本次实例就通过两层Nginx反向代理,模拟一下其客户端IP的传递信息。实验环境: 操作系统 : Centos 7.X Nginx : n...
首层nginx 传递 二级代理,三级代理......多级代理nginx 客户端真实IP的方法
weixin_34399060的博客
05-15 432
首层nginx(172.25.10.1):先获取真实IP($remote_addr),再将真实IP传递给X-Forwarded-For proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; 二级代理nginxIP为172.25.10.2):设置从上级n...
Nginxrealip获取
追梦者的部落格
05-20 1173
我们都知道,在Nginx中,想获取来源的IP,我们可以通过$remote_addr 来获取,但是很多时候,请求会经过多个中间代理或CDN,从而导致我们根本无法准确的获取客户端的真实IP, 为解决这种问题,Nginx提供了realip模块来实现客户端IP获取,详细信息参见:ngx_http_realip_module 此模块提供了三个指令:set_real_ip_from, real_ip_header,real_ip_recursive,其功能如下: set_real_ip_from:指定IP的来源信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值