反向代理如何传递客户端 IP

已于 2022-06-04 21:32:15 修改
阅读量1.2k 收藏 1
点赞数
分类专栏: web nginx 文章标签: tcp/ip 代理模式 nginx
于 2022-06-04 19:51:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alading2009/article/details/125124848
版权
web 同时被 2 个专栏收录
22 篇文章 0 订阅
订阅专栏
nginx
2 篇文章 0 订阅
订阅专栏

个人博客

先解释两个概念:正向代理、反向代理。

正向代理是为了隐藏客户端身份,一个正向代理一般服务于一个或多个客户端,代表客户端去访问各种互联网上的服务,比如 Tor、比如科学上网时候用到的那个啥。相对应,反向代理就是为了隐藏服务端身份,方便做一些负载均衡、认证、加密、缓存、传输内容压缩的工作。

反向代理在服务领域应用得非常广泛,部署应用时如果不放一个反向代理,出门都不好意思和别人打招呼。反向代理一般工作在 OSI 模型的4层或者7层,工作在4层时可以基于 ip、端口进行流量转发,工作在7层时可以基于 4-7层的内容进行转发。

由于反向代理至少工作在4层,在流量经过反向代理后,3、4层的客户端信息会丢失,而其中一些信息对于服务端来说又具有切实的用途,比如 IP,可以根据 IP 来进行访问请求的地理分布统计以支持营销决策、或者安排就近的 CDN 服务以优化服务体验、或者进行访问的白名单控制、或者为了支持监管要求——比如最近知乎、微博上线的显示 IP 归属地功能。有时候确实不得不违反分层原则,某些功能就是横切整个分层结构的。

那如何保留 IP 等客户端信息?对应反向代理工作的位置,也有两种方式。

1、当反向代理工作在4层时,可以通过 Proxy Protocol 来实现,主要是在 tcp 三次握手结束后插入一个携带原始连接信息的包,协议细节不赘述。

以 Nginx 为例,发送端需要启用配置 proxy_protocol。

stream {
  server {
    listen 192.168.1.100:80;
    proxy_protocol on;
    proxy_pass 192.168.2.1:80;
  }
}

接收端需要声明接收 proxy protocol。

http {
  server {
    listen 192.168.2.100:80 proxy_protocol;
    real_ip_header proxy_protocol;
    set_real_ip_from 192.168.2.0/24;
  }

  location / {
    proxy_pass http://backend:8080;
    proxy_set_header X-Forwarded-For $proxy_protocol_addr;
  }
}

Nginx 还有一种方式是把自己的 IP 地址伪装为客户端 IP,再和后端建立 Socket 连接。但是要求 worker 进程以特权账号运行,以修改当前系统里的 IP 表和路由表。不提倡这种做法。

user root;
stream {
  server {
    listen 192.168.1.1:1234;
    proxy_bind $remote_addr transparent;
    proxy_pass 192.168.2.1:1234;
  }
}

以 Haproxy 为例,若要接收,则在 frontend 上配置 accept-proxy;若要发送,则在 backend 上配置 send-proxy。

frontend myweb
  bind :80 accept-proxy
  default_backend othersweb

backend othersweb
  balance roundrobin
  server s1 192.168.56.20:3000 check send-proxy

2、当反向代理工作在7层时,可以通过 Http 协议扩展头 X-Forwarded-* 头部或 Forwarded 头部来实现。

X-Forwarded-For: <client>, <proxy1>, <proxy2>
X-Forwarded-Proto: <protocol>
X-Forwarded-Host: <host>

Nginx 配置:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

以 X- 开头的头部通常为实验性质的扩展头部,当成功普及以后,就成为了事实上的标准,反而不好替换,对其进行标准化后的头部为 Forwarded。

Forwarded: by=<identifier>; for=<identifier>; host=<host>; proto=<http|https>

Nginx 没有内置变量支持 $proxy_add_forwarded,需要自行创建

proxy_set_header Forwarded $proxy_add_forwarded;

参考:

tcp-udp-load-balancing-nginx-tips-tricks

nginx-forwarded

haproxy-enable-proxy-protocol

夜读春秋
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修改nginx
177qq的博客
12-10 243
#user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1...
真正的获取客户端真实IP地址及利弊分析
10-29
目前网上流行的所谓“取真实IP地址”的方法,都有bug,没有考虑到多层透明代理的情况。
服务器反向代理中用于存放客户端原始 IP 地址
热门推荐
236004的博客
07-06 1万+
在开发工作中,我们常常需要获取客户端IP。一般获取客户端IP地址的方法是:request.getRemoteAddr();但是在通过了Apache,Squid等反向代理软件就不能获取到客户端的真实IP地址了。 原因:由于在客户端和服务之间增加了中间代理,因此服务器无法直接拿到客户端IP,服务器端应用也无法直接通过转发请求的地址返回给客户端。 现在图示代理上网和IP的关系:
扫描反代Cloudflare的IP 给网站CDN加速 免费制作自己的CDN加速
最新发布
随便写写
05-07 1713
Cloudflare的CDN系统基本上每个站长都家喻户晓,大家都知道大陆对于搭建网站的审核力度,以至于Cloudflare并没有大陆的泛播节点,有也是只有香港节点。但是这些节点对于海外是加速效果,对于大陆就是一个字慢,晚高峰的情况下更是惨不忍睹。
Nginx作为反向代理传递客户端IP的设置方法
01-10
nginx默认配置文件里面是没有进行日志转发配置的,这个需要我们自己手动来操作了,当然后端的real server不同时操作方法是不一样的,这里我们分别例举几种情况来说明一下。 nginx做前端,转发日志到后端nginx服务器: 因为架构的需要采用多级 Nginx 反向代理,但是后端的程序获取到的客户端 IP 都是前端 NginxIP,问题的根源在于后端的 Nginx 在 HTTP Header 中取客户端 IP 时没有取对正确的值。 同样适用于前端是 Squid 或者其他反向代理的情况。 首先前端的 Nginx 要做转发客户端 IP 的配置: location / { proxy_p
IIS获取haproxy反向代理后用户真实IP
mituan1234567的专栏
08-19 3653
http://www.yinxiulei.cn/iis-haproxy-ip.html haproxy配置 在配置中增加 option forwardfor #转发客户IP到后端服务器 option originalto nginx配置 server { location { …….. proxy_set_header X-Forwarded-F
TCP反向代理
学而不思则罔 思而不学则殆
11-13 1515
做了一个MQ,现在需要将MQ的TCP连接端口代理一番: 使用nginx:stream { upstream server { hash $remote_addr consistent; server localhost:1883 weight=1 max_fails=3 fail_timeout=10s; } server {
TCP反向代理介绍
輚至消亡
05-01 6547
TCP Proxy目前,设备仅支持通过Web方式配置TCP Proxy。 1.1  概述1.1.1  SYN Flood攻击简介一般情况下,TCP连接的建立需要经过三次握手,即:(1)      TCP连接请求的发起者向目标服务器发送SYN报文;(2)      目标服务器收到SYN报文后,建立处于SYN_RECEIVED状态的TCP半连接,并向发起者回复SYN ACK报文,等待发起者的回应;...
nginx反向代理时的真实IP_nginx反向代理_
10-02
2. **X-Real-IP 头部**:为了解决这个问题,Nginx支持通过HTTP头部传递客户端IP。后端服务器可以检查`X-Real-IP`头部来获取真实IP。当Nginx接收到客户端请求时,我们可以配置Nginx客户端IP添加到`X-Real-IP`头部,...
Java根据Request获取客户端IP
08-30
反向代理的情况下,客户端IP地址不能直接获取,而是通过HTTP头信息中的X-Forwarded-For信息来跟踪原有的客户端IP地址。因此,需要使用特殊的方法来获取客户端的真实IP地址。 下面是获取客户端真实IP地址的两种...
JAVA HTTP反向代理实现过程详解
08-18
然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。 二、反向代理的实现过程 反向代理服务器会接收请求,但其自身...
Java获取客户端IP
12-22
但是在通过了Apache,Squid等反向代理软件不能获取到客户端的真实IP地址了。  原因:由于在客户端和服务之间增加了中间代理,因此服务器无法直接拿到客户端IP,服务器端应用也无法直接通过转发请求的地址返回给...
Nginx系列教程(13) - TCP反向代理实现
阿甘兄
11-15 1190
Nginx在1.9.0的时候,增加了一个 stream 模块,用来实现四层协议(网络层和传输层)的转发、代理、负载均衡等。stream模块的用法跟http的用法类似,允许我们配置一组TCP或者UDP等协议的监听,然后通过proxy_pass来转发我们的请求,通过upstream添加多个后端服务,实现负载均衡,下面我们从基础网络模型讲起: 1.网络模型 在前面的章节中,我们知道,网络的七层协议是这样...
Nginx相关的TCP/IP反向代理系统解析与调优
曲折旅程,艰难人生
01-12 920
nginx中相关的调优说明
如何在linux上快速配置Nginx服务
swallowblank的博客
05-21 255
user nginx; worker_processes auto; error_log /var/log/nginx/error.log; pid /run/nginx.pid; include /usr/share/nginx/modules/*.conf; events { worker_connections 1024; } http { log_format main '$remote_addr - $remote_user [$time_local] "$reques.
反向代理介绍
qq_40907977的博客
05-06 2316
Web服务器工作原理 HTTP协议基于TCP协议上,是一个应用层协议,用于用户代理和Web服务器进行通信。Web服务器通常采用一问一答的方式进行工作: 1、在用户代理上用户发起资源请求,请求内容包括但不限于:指定资源的唯一标识IRI,指明动作类型(GET/POST/DELETE/PUT…) 2、用户代理解析用户输入IRI并从中获取目标域名,交由DNS服务器解析。如果IRI中指定某IP地址,这无需这...
Nginx反向代理tcp和http协议配置
csdnlidd的博客
12-25 4285
【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> ...
如何通过反向代理实现伪装IP
Maple
10-28 3921
首先说明什么是反向代理? 一句话解释,就是隐瞒真实IP让代理服务器IP暴露,客户在访问资源的时候,以为是从这个暴露IP获得的资源。 不好理解的话,先想想正向代理的实例——虚拟专用网络: 反向代理: 具体软件有haproxynginx等。 这里的图还是需要解释一下, 正向代理,被代理的是用户, 反向代理,被代理的是服务器; 正向代理,服务器看到的你的IP是代理服务器的IP,...
反向代理 客户端ip
09-10
反向代理是一种服务器配置的方式,它在客户端和服务端之间扮演中间人的角色。当用户请求访问某个网站时,请求首先到达反向代理服务器,然后再由反向代理服务器将请求转发给真实的服务器。而客户端IP就是指访问网站的用户的IP地址。 在正常情况下,服务器会记录并获取到用户的真实IP地址。然而,反向代理的使用会导致服务器只能获取到反向代理服务器的IP地址,而无法获得实际的客户端IP地址。这是因为请求经过反向代理服务器时,客户端IP地址会被反向代理服务器代替。 为了解决这个问题,反向代理服务器会在HTTP请求的Header中加入X-Forwarded-For字段,并将真实的客户端IP地址作为该字段的值。这样,当请求到达真实的服务器时,服务器可以通过获取X-Forwarded-For字段的值来获取到客户端的真实IP地址。 反向代理服务器的使用有很多好处,比如提供负载均衡、缓存加速、安全防护等功能。但同时也要注意,因为反向代理会修改请求的来源IP地址,所以需要在服务器端做相应的配置,以确保能够正确获取到客户端的真实IP地址。 总结来说,反向代理是一种配置方式,可以提供负载均衡和安全防护等功能。客户端IP指的是访问网站的用户的真实IP地址。在使用反向代理时,服务器无法直接获取到客户端的真实IP地址,但可以通过在请求Header中加入X-Forwarded-For字段来获取。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值