后端nginx使用set_real_ip_from获取用户真实IP

最新推荐文章于 2024-12-10 14:23:12 发布
最新推荐文章于 2024-12-10 14:23:12 发布
阅读量2.8k 收藏 11
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ichen820/article/details/117559744
版权

随着nginx的迅速崛起,越来越多公司将apache更换成nginx. 同时也越来越多人使用nginx作为负载均衡, 并且代理前面可能还加上了CDN加速,但是随之也遇到一个问题:nginx如何获取用户的真实IP地址.

实例环境:

用户IP 120.22.11.11
CDN前端 61.22.22.22
CDN中转 121.207.33.33
公司NGINX前端代理 192.168.50.121(外网121.207.231.22

1、使用CDN自定义IP头来获取
假如说你的CDN厂商使用nginx,那么在nginx上将$remote_addr赋值给你指定的头,方法如下:

proxy_set_header remote-user-ip $remote_addr;

后端PHP代码getRemoteUserIP.php

<?php
    $ip = getenv("HTTP_REMOTE_USER_IP");
    echo $ip;    
?>

访问getRemoteUserIP.php,结果如下:

120.22.11.11 //取到了真实的用户IP,如果CDN能给定义这个头的话,那这个方法最佳

2、通过HTTP_X_FORWARDED_FOR获取IP地址

一般情况下CDN服务器都会传送HTTP_X_FORWARDED_FOR头,这是一个ip串,后端的真实服务器获取HTTP_X_FORWARDED_FOR头,截取字符串第一个不为unkown的IP作为用户真实IP地址, 例如:
120.22.11.11,61.22.22.22,121.207.33.33,192.168.50.121(用户IP,CDN前端IP,CDN中转,公司NGINX代理)
getFor.php

<?php
    $ip = getenv("HTTP_X_FORWARDED_FOR");
    echo $ip;
?>

访问getFor.php结果如下:

120.22.11.11,61.22.22.22,121.207.33.33,192.168.50.121

如果你是php程序员,你获取第一个不为unknow的ip地址,这边就是120.22.11.11.

3.使用nginx自带模块realip获取用户IP地址

安装nginx之时加上realip模块,我的参数如下:

./configure --prefix=/usr/local/nginx-1.4.1 --with-http_realip_module

真实服务器nginx配置

server {
listen 80;
server_name www.ttlsa.com;
access_log /data/logs/nginx/www.ttlsa.com.access.log main;

index index.php index.html index.html;
root /data/site/www.ttlsa.com;

location /
{
        root /data/site/www.ttlsa.com;
}
location = /getRealip.php
{
        set_real_ip_from  192.168.50.0/24;
        set_real_ip_from  61.22.22.22;
        set_real_ip_from  121.207.33.33;
        set_real_ip_from 127.0.0.1;
        real_ip_header    X-Forwarded-For;
        real_ip_recursive on;
        fastcgi_pass  unix:/var/run/phpfpm.sock;
        fastcgi_index index.php;
        include fastcgi.conf;
}

}

getRealip.php内容

<?php $ip = $_SERVER['REMOTE_ADDR']; echo $ip; ?>

访问www.ttlsa.com/getRealip.php,返回:

120.22.11.11

如果注释 real_ip_recursive on或者 real_ip_recursive off

访问www.ttlsa.com/getRealip.php,返回:

121.207.33.33

很不幸,获取到了中继的IP,real_ip_recursive的效果看明白了吧.

set_real_ip_from:真实服务器上一级代理的IP地址或者IP段,可以写多行
real_ip_header:从哪个header头检索出要的IP地址
real_ip_recursive:递归排除IP地址,ip串从右到左开始排除set_real_ip_from里面出现的IP,如果出现了未出现这些ip段的IP,那么这个IP将被认为是用户的IP。例如我这边的例子,真实服务器获取到的IP地址串

如下:

120.22.11.11,61.22.22.22,121.207.33.33,192.168.50.121

在real_ip_recursive on的情况下

61.22.22.22,121.207.33.33,192.168.50.121都出现在set_real_ip_from中,仅仅120.22.11.11没出现,那么他就被认为是用户的ip地址,并且赋值到remote_addr变量

在real_ip_recursive off或者不设置的情况下

192.168.50.121出现在set_real_ip_from中,排除掉,接下来的ip地址便认为是用户的ip地址
如果仅仅如下配置:

set_real_ip_from 192.168.50.0/24;
set_real_ip_from 127.0.0.1;
real_ip_header X-Forwarded-For;
real_ip_recursive on;

访问结果如下:

   121.207.33.33

4、三种在CDN环境下获取用户IP方法总结

4.1 CDN自定义header头

优点:获取到最真实的用户IP地址,用户绝对不可能伪装IP
缺点:需要CDN厂商提供

4.2 获取forwarded-for头

优点:可以获取到用户的IP地址
缺点:程序需要改动,以及用户IP有可能是伪装的

4.3 使用realip获取

优点:程序不需要改动,直接使用remote_addr即可获取IP地址
缺点:ip地址有可能被伪装,而且需要知道所有CDN节点的ip地址或者ip段

参考:https://blog.csdn.net/zwmnhao1980/article/details/82267921

注意要在http区域下配置
在这里插入图片描述

set_real_ip_from 0.0.0.0/0;
real_ip_header X-Forwarded-For;
real_ip_recursive on;
IChen.
关注
Nginx透过代理获取真实客户端IP
zero
11-04 3563
本系列中的故事纯属虚构,如有雷同实属巧合 小B是’柒’公司的安全攻城狮,为了完成任务小B开始做起了调研(欲知背景如何,且听下回分说)。 首先小B弄明白了’柒’公司的应用系统架构是:Client --> CDN --> SLB --> Server。 发现在应用服务器上Nginx日志中采集的关于定位用户身份信息的IP维度数据不准确。不准确的原因是:因为在应用服务器中Nginx使用XFF与remote_addr字段采集客户IP,XFF字段很好被攻击者伪造,而remote_addr字段一般采集都
使用NginxRealip模块探知真实客户端IP
你知道莽村的莽怎么来的吗!
05-20 2162
ngx_http_realip_module模块允许覆盖由代理服务器(如前端Nginx或负载均衡器)传递的客户端IP地址。通过设置real_ip_header和set_real_ip_from指令,Nginx可以从特定的HTTP头或指定的IP范围内提取真实的客户端IP地址。
CDN下nginx获取用户真实IP地址
weixin_34419321的博客
07-27 440
随着nginx的迅速崛起,越来越多公司将apache更换成nginx. 同时也越来越多人使用nginx作为负载均衡, 并且代理前面可能还加上了CDN加速,但是随之也遇到一个问题:nginx如何获取用户真实IP地址,如果后端是apache,请跳转到<apache获取用户真实IP地址>,如果是后端真实服务器是nginx,那么继续往下看。实例环境:用户IP 120.2...
nginx指令 set_real_ip_from
servepeople的博客
12-10 984
Nginxset_real_ip_from 指令与 real_ip_header 配合使用,能够让 Nginx 信任特定的代理服务器或 CDN,从请求头中提取并使用客户端的真实 IP 地址。通过 set_real_ip_fromreal_ip_header 指令,Nginx 可以识别这些头部信息,将客户端的真实 IP 地址用于日志记录、访问控制、请求限速等。你还可以基于从 set_real_ip_from 信任的 IP 中提取到的客户端真实 IP 实现访问控制。# 单个代理服务器 IP
使用Nginx自带的Realip模块获取用户真实IP
weixin_33737774的博客
03-20 435
(一)简要说明 如果你的Web服务器前端有代理服务器或CDN时日志中的$remote_addr可能就不是客户端的真实IP了。比较常用的解决方法有以下三几种,本文将主要介绍如何使用Nginx自带realip模块来解决这一问题:1,用CDN自定义IP头来获取2,通过HTTP_X_FORWARDED_FOR获取IP地址3,使用Nginx自带模块realip获取用户IP地址 ...
nginx(三十九) post_read阶段ngx_http_realip_module模块学习
wzj_110的博客
10-01 2378
http_real_ip模块学习
nginx获取客户端真实ip
Merandღ的博客
03-19 4926
前提:当多层代理或使用CDN时,如果代理服务器不把用户真实IP传递下去,那么业务服务器将永远不可能获取用户真实IPnginx的变量 remote_addr 代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器(Nginx,Apache等)就会把remote_addr设为你的机器IP,如果...
Nginx 教程- 获取真实IP模块 - http_realip_module
weixin_33971205的博客
11-12 839
有这么一情况,某网站静态文件很多,而且用户访问的来源有网通,有电信,有铁通...设置还有国外。 为了令处于不同网络运营商的用户收取静态文件的速度都有良好的体现,该网站分别在这些不同运营商的积分中部署了Squid,然后统一 Proxy 到主站的 Nginx 上,形成分布式缓存架构。 如果单是这样的话,主站上 Nginx 的日志,或者应用所获得的IP来源,始...
Nginx 获取与传递真实访问IP
夏冬丶王阳旭
07-26 3716
原文具体详情请查看我的个人博客: 右键在新标签页中打开链接即可。 《Nginx 获取与传递真实访问IP》 ----------------------------------------------------------- 分隔符 -------------------------------------------------------- 前言 nginx作为高性能反向代理服务器,...
nginx配置获取客户端的真实ip
superzhang6666的博客
09-15 8011
对于首层代理服务器,使用来将客户端IP赋值给X-Forwarded-For请求头对于非首层代理服务器,使用来将客户端请求头中的X-Forwarded-For和$remote_addr两部分用逗号分隔后赋值给X-Forwarded-For请求头ursive on;这样,nginx 就会把 X-Forwarded-For 字段中最后一个非 192.168.56.1 的 IP 赋值给 $remote_addr 变量,作为客户端真实IP。对于首层代理服务器,使用
nginx经过多层代理后获取真实来源ip过程详解
01-20
问题 nginx取 $remote_addr 当做真实ip,而事实上,$http_X_Forwarded_For 才是用户真实ip,$remote_addr只是代理上一层的地址 解决方案: 在 http 模块 加 set_real_ip_from 172.17.10.125; #上一层代理IP地址 real_ip_header X-Forwarded-For; real_ip_recursive on; 添加之后启动nginx报错: nginx: [emerg] unknown directive set_real_ip_from in /home/lnidmp/nginx/conf/
nginx利用反向代理实现获取用户真实ip
AmourHaiti的博客
09-27 7319
以下所有的实操都是在redhat7.3上 我们访问互联网上的服务时,大多数时,客户端并不是直接访问到服务端的,而是客户端首先请求到反向代理,反向代理再转发到服务端实现服务访问,通过反向代理实现路由/负载均衡等策略。这样在服务端拿到的客户端IP将是反向代理IP,而不是真实客户端IP,因此需要想办法来获取真实客户端IP web服务器获得真正的用户真实ip ? 客户端访问服务端的数据流走向 ...
Nginxrealip模块 使用详解
qq_24794401的博客
06-04 6911
realip 功能介绍用途:当本机 Nginx 处于反向代理后端时可以获取用户真实IP地址。使用realip 功能需要 Nginx 添加 ngx_http_realip_modul...
Nginx使用limit_req_zone对同一IP访问进行限流
热门推荐
keketrtr的专栏
07-18 3万+
nginx可以使用ngx_http_limit_req_module模块的limit_req_zone指令进行限流访问,防止用户恶意攻击刷爆服务器。ngx_http_limit_req_module模块是nginx默认安装的,所以直接配置即可。 首先,在nginx.conf文件中的http模块下配置 limit_req_zone $binary_remote_addr zone=one:10m
nginx获取用户真实IP
编程爱好者之家
12-10 520
由于网站用了代理服务器,获取IP都是代理的那台服务器上的ip,配置了下nginx就好了 方案如下: 在nginx.conf的 http 模块 加 set_real_ip_from172.17.10.125; real_ip_headerX-Forwarded-For; 即可! 这里我们添加之后启动nginx报: nginx: [...
nginx(四):如何在 Nginx 中配置以保留真实 IP 地址
欧阳方超的专栏
11-05 2357
使用nginx作为反向代理服务器时,客户端的请求会经过nginx转发到后端服务器。在这过程中,客户端的IP可能会被覆盖,导致后端获取请求的IP时只能获取nginx所在机器的IP
Nginx系列-10 realIp模块使用
shengyu
07-26 1510
当请求被代理后,真实客户端相对服务器被隐藏,即服务端无法判断HTTP消息来源。可通过将客户端的IP添加入HTTP消息解决上述问题,可在消息头中添加字段。
apihook获取返回地址_后端nginx使用set_real_ip_from获取用户真实IP
weixin_39553156的博客
12-23 313
使用nginx自带模块realip获取用户IP地址yum或者apt安装的都会默认有这个模块真实服务器nginx配置 server { listen 80; server_name www.qq.com; access_log /data/logs/nginx/www.qq.com.access.log main; index index.php index.html index.html; ro...
nginx无法获取真实ip的问题
emoyuer的博客
12-14 6018
使用“Web应用防火墙”后获取访问者真实IP配置指南 很多时候,网站并不是简单的从用户的浏览器直达服务器, 中间可能会加入CDN、WAF、高防。 从而,变成如下的架构: 用户 —–> CDN/WAF/高防 ——> 源站服务器 那么,经过这么多层加速,服务器如何才能得到发起请求的真实客户端IP呢? 当一个透明代理服务器把用户的请求转到后面服务器的时候,会在HTT
HTTP_ALI_CDN_REAL_IP
最新发布
02-22
<think>嗯,用户问的是HTTP_ALI_CDN_REAL_IP,我需要先确定这个术语的具体含义。首先,CDN通常会在请求头中添加一些信息来传递客户端的真实IP,比如阿里云的CDN可能会有这样的头字段。HTTP_ALI_CDN_REAL_IP可能是一个自定义的头部,或者是用户项目中使用的特定变量名。 接下来,我应该解释当使用CDN时,服务器的原始IP会被CDN的IP取代,因此需要从请求头中获取真实IP。常见的头部有X-Forwarded-For或者X-Real-IP,但不同的CDN服务商可能有不同的命名,比如阿里云可能使用类似的字段。 然后,需要说明如何在服务器配置中处理这些头部,例如Nginx中的配置示例,使用real_ip_header来指定头部,并设置可信的CDN IP段。还要提醒用户注意安全性,确保只有可信的CDN服务器才能传递这些头部,防止伪造。 可能用户是开发人员或者运维人员,遇到获取真实IP的问题,特别是在使用阿里云CDN的情况下。他们可能需要具体的配置步骤和注意事项,所以提供实际的例子会更有帮助。此外,需要确认不同CDN服务商的头部可能不同,建议查阅阿里云的官方文档确认正确的头部名称。</think>`HTTP_ALI_CDN_REAL_IP` 通常与通过阿里云 CDN(内容分发网络)获取客户端真实 IP 地址的需求相关。当网站或服务使用 CDN 时,用户请求会先经过 CDN 节点,导致服务器日志中记录的 IP 地址变为 CDN 节点的 IP,而非用户真实 IP。为了解决这一问题,CDN 服务商(如阿里云)会在 HTTP 请求头中添加特定字段来传递用户真实 IP。 --- ### **HTTP_ALI_CDN_REAL_IP 的作用** 1. **传递真实 IP** CDN 节点会将用户的原始 IP 写入一个自定义的 HTTP 请求头(例如 `X-Forwarded-For`、`Ali-CDN-Real-IP` 或 `HTTP_ALI_CDN_REAL_IP`),后端服务器可通过读取该字段获取用户真实 IP。 2. **典型场景** - Web 服务器(如 Nginx、Apache)需要记录用户真实 IP。 - 应用需要根据用户 IP 进行地理位置分析、反爬虫或访问控制。 --- ### **如何获取真实 IP?** #### 1. **查看阿里云 CDN 的头部字段** 阿里云 CDN 默认可能使用以下字段传递真实 IP(具体名称以阿里云文档为准): - `X-Forwarded-For`:通用字段,通常包含客户端 IP 和中间代理 IP。 - `X-Real-IP`:某些配置下会直接存储客户端真实 IP。 - 自定义字段如 `Ali-CDN-Real-IP`(名称可能因版本或配置不同而变化)。 **建议查阅阿里云官方文档**确认当前使用的字段名称。 #### 2. **服务器配置示例(Nginx)** 在 Nginx 中可通过以下配置获取真实 IP: ```nginx server { # 设置从 X-Forwarded-For 中提取真实 IP set_real_ip_from 0.0.0.0/0; # 允许所有 CDN IP(需根据实际 CDN IP 段配置) real_ip_header X-Forwarded-For; real_ip_recursive on; # 日志中记录真实 IP log_format main '$remote_addr - $http_x_forwarded_for'; } ``` - `set_real_ip_from` 需配置为阿里云 CDN 的 IP 地址段(需查询最新列表)。 - 若阿里云使用其他字段(如 `HTTP_ALI_CDN_REAL_IP`),需修改 `real_ip_header`。 #### 3. **应用程序获取方式** 在代码中直接读取 HTTP 请求头: - **PHP 示例**: ```php $real_ip = $_SERVER['HTTP_ALI_CDN_REAL_IP'] ?? $_SERVER['REMOTE_ADDR']; ``` - **Node.js 示例**: ```javascript const realIp = req.headers['ali-cdn-real-ip'] || req.socket.remoteAddress; ``` --- ### **注意事项** 1. **安全性** 需确保只有可信的 CDN 节点 IP 可以传递 `X-Forwarded-For` 等头部,避免伪造 IP 攻击。 2. **兼容性** 不同 CDN 服务商的字段可能不同(例如腾讯云使用 `X-Client-IP`),需根据阿里云文档调整。 3. **验证配置** 可通过在线工具(如 `curl` 或浏览器插件)发送请求,检查服务器是否能正确接收并解析头部。 如果需要更具体的配置步骤,建议参考阿里云 CDN 的官方文档或联系技术支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值