kong(openrestry) 获取 x-forwarded-for 内ip赋值给另一个header

已于 2022-05-26 11:53:55 修改
阅读量782 收藏
点赞数
文章标签: nginx 运维开发
于 2022-05-26 00:35:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coin535/article/details/124976634
版权

一、背景

上海lockdown的第六十几天,忘记了,still lockdown。

我们现在的业务架构是:用户->slb->kong->application,

阿里云的slb会获取用户的ip,并且塞到RemoteIp这个header里面(slb默认配置),

后端服务是可以根据RemoteIp 的header获取到用户ip的。随着对安全的重视,各种合规要求,准备接waf了。新的业务架构是:用户->waf->slb->kong->application,对于slb来说,直接请求过来的不是真实的用户,获取的RemoteIp就是waf的出口ip。但是X-Forwarded-For里面是记录了所有代理层的ip的,第一个ip就是用户的ip(不考虑伪造header的问题)。开发不想修改业务逻辑,即使是加一个if判断。另一方面,能者多劳,接了。

修改/usr/local/share/lua/5.1/kong/templates/nginx_kong.lua ,在 access_by_lua_block 阶段对header做修改,直接上代码

   access_by_lua_block {
        Kong.access()
        local headers = ngx.req.get_headers()  -- 获取header
            local xff = headers["x-forwarded-for"] -- 获取XFF
            if xff ~= nil and string.len(xff) >15  then  -- xff非空且长度大于15
               local pos  = string.find(xff, ",", 1)  -- 获取第一个ip的位置
               local client_ip = string.sub(xff,1,pos-1)  -- 获取第一个ip
               ngx.req.set_header('RemoteIp', client_ip)  -- 赋值修改RemoteIp
            end
    }

重启即可生效

kong restart

抓包测试:伪造xff,获取成功

curl test.domain.com/*/*/health -v 
-H 'kong-debug: true' 
-H 'X-Forwarded-For: 1.1.1.1, 2.2.2.2'
[root@localhost log-data]# tcpdump -vvvv|egrep 'X-Forwarded-For|RemoteIp'
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes


	X-Forwarded-For: 1.1.1.1, 2.2.2.2, 101.80.59.36, 100.122.56.173, 10.120.2.197
	RemoteIp: 1.1.1.1

无忧无虑地live
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Chrome插件:X-Forwarded-For Header
12-15
标题“Chrome插件:X-Forwarded-For Header”揭示了本文将深入探讨一个专门针对Google Chrome浏览器的扩展应用,该插件的主要功能是处理和设置HTTP头中的`X-Forwarded-For`字段。`X-Forwarded-For`(简称XFF)头是一...
Kong获取用户真实ip
qq_24509229的博客
07-26 2356
Kong获取真实ip 在前后端分离架构中,前端使用nginx作为静态页面服务器以及转发ajax请求,所以Kong不是与用户直接相连的服务器。一个tcp socket连接的四元组包括源ip,源端口,目的ip,目的端口,一个tcp连接只能拿到直接相连的源ip地址。对于一个nginx服务器,如果请求到达该服务器时,中间经过多层反向代理,则无法直接获取客户的真实ip地址。而拿到用户的真实ip地址,是基于ip地址来实现限速,限流,拉黑,负载均衡,数据分析等功能的基础。 涉及知识点: nginx变量$remote
kong获取真实客户端IP配置
stone5751的专栏
01-09 2107
修改kong配置文件 vim /usr/local/kong/.kong_env 修改属性 real_ip_header = X-Forwarded-For # 从哪个header字段取真实IP real_ip_recursive = on # 是否递归过滤IP trusted_ips = 10.116.0.0/16 # 需要过滤的IP,可以用网段表示,...
【X-Forwarded-For】WEB修改访客IP
weixin_34367257的博客
05-30 143
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在Forwarded-For HTTP头字段标准化草案中正式提出。这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1, proxy...
多级Openresty打印客户端真实IP到日志
qq_19344391的博客
06-26 1895
多级Openresty打印客户端真实IP到日志
60-【kubernetes】header(X-Forwarded-For 、remote_addr、X-Real-IP)是否可以篡改
qq_42303254的博客
12-31 1445
https://zhuanlan.zhihu.com/p/134618410
HTTP_X_FORWARDED_FOR获取到的IP地址
m0_37477061的博客
03-05 572
https://blog.csdn.net/ccfxue/article/details/73693477
X-Forwarded-For是怎么来的
servepeople的博客
07-18 525
X-Forwarded-For 由来
X-Forwarded-For Header-crx插件
04-02
此扩展允许您快速更新X-Forwarded-For,X-Originating-IP,X-Remote-IP和X-Remote-Addr HTTP标头,以进行各种测试。 变更日志:v0.6.2-修复了干扰此扩展的Firefox版本的错误v0.6.1-修复了CORS预检请求的问题v0.6.0-...
X-Forwarded-For Header_0.6.2_0.zip
08-24
此扩展允许您快速更新各种 X-Forwarded-For、X-Originating-IP、X-Remote-IP 和 X-Remote-Addr HTTP 标头 打开Chrome浏览器的扩展程序: 地址栏直接输入:chrome://extensions/ 把下载到的文件解压后,点击加载已...
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
x-forwarded-forheader1.0.1.1.1
05-01
x-forwarded-forheader1.0.1.1.1火狐老插件,可以直接本地安装在旧版火狐上面,可以用的。
HTTP 请求头中的 X-Forwarded-For,X-Real-IP
z69183787的专栏
04-12 3471
https://www.cnblogs.com/diaosir/p/6890825.html X-Forwarded-For 在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: location / { 省略... proxy_set_header X-Forwarded-For $proxy_add_x_for...
Openresrt最佳案例
weixin_30381793的博客
08-22 550
第1篇:Nginx介绍 Nginx一个高性能的Web 服务器,同时是一个高效的反向代理服务器,它还是一个IMAP/POP3/SMTP 代理服务器。 由于Nginx采用的是事件驱动的架构,能够处理并发百万级别的tcp连接,高度的模块化设计和自由的BSD许可,使得Nginx有着非常丰富的第三方模块。比如Openresty、API网关Kong。 BSD开源协议是一个给予使用者很大自由的协议...
X-Forwarded-For
yuange
04-25 7306
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
openresty配置部署
zhangge3663的博客
01-18 384
环境:centos yum install -y readline-devel pcre-devel openssl-devel gcc yum install -y g++ make automake autoconf ./configure --prefix=/usr/local/openresty \ --with-luajit --with-http_iconv_module \ --with-http_stub_status_module gmake ; gmake
SpringBoot配置属性之Server
weixin_34148340的博客
01-14 723
SpringBoot配置属性系列 SpringBoot配置属性之MVC SpringBoot配置属性之Server SpringBoot配置属性之DataSource SpringBoot配置属性之NOSQL SpringBoot配置属性之MQ SpringBoot配置属性之Security SpringBoot配置属性之Migrati...
Tomcat 利用 RemoteIpValve 对每个request请求的处理规则
大猪头的博客
07-16 6953
文章目录org.apache.catalina.valves.RemoteIpValve的属性1、 remoteIpHeader2、proxiesHeader3、 internalProxies4、trustedProxiestomcat利用RemoteIpValve对请求头内容的处理内容 org.apache.catalina.valves.RemoteIpValve的属性 1、 remoteI...
Nginx怎么部署vue项目》
最新发布
GoppViper的博客
09-06 1048
打开cmd,输入重启命令:nginx -s reload (若配置文件没做修改可忽略这一步)好了,以上就是《Nginx部署vue项目》的全部内容,关注我看更多有意思的文章哦!完成上一步后,打开我们的配置文件,找到节点,修改参数。另外,多版本的nginx可以共存,只要设置web端口不一样就可以同时使用。到前端项目目录下,找到文件夹。复制下的文件,粘贴至nginx根目录下的。在vue代码目录下运行命令:npm run build。conf目录下有默认配置文件nginx.conf。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值