Nginx 之 X-Forwarded-For 中首个IP一定真实吗?

最新推荐文章于 2024-02-26 11:09:52 发布
最新推荐文章于 2024-02-26 11:09:52 发布
阅读量5.3k 收藏 5
点赞数 2
分类专栏: nginx 文章标签: nginx realip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myle69/article/details/83041486
版权

欢迎访问陈同学博客原文

使用 Nginx 基于客户端IP进行限流时,需在代理中拿到客户端真实IP。获取IP方式有多种,如利用 remote_addr、X-Real-IP、X-Forwarded-For等。

以前看到一些项目通过获取 X-Forwarded-For 中首个IP作为真实IP,这其实有些不妥之处。本文记录下在 Nginx 作反向代理时, X-Forwarded-For 及其他获取真实IP的相关内容。

关于 X-Forwarded-For

参考 Nginx wiki: Using the Forwarded header

X-Forwarded-For 是一个HTTP拓展头,起初在 RFC2616 (HTTP/1.1) 中并未定义,但后来被广泛用于表示客户端真实IP。而后 RFC7239 (Forwarded HTTP Extension) 中又提供了标准的 Forwarded 头,使用 X-Forwarded-For 来提取真实IP也就成了事实上的标准。

X-Forwarded-For 存储了客户端IP以及请求链路上各代理IP,假设请求依次通过 proxy1、proxy2 后抵达服务,那 X-Forwarded-For 的值为:客户端IP, proxy1 IP, proxy2 IP,IP之间以逗号隔开。

X-Forwarded-For 首个IP一定真实吗?

当使用 nginx 做反向代理时,通过 HttpServletRequest 的 getRemoteAddr() 得到的是最后一个代理所在机器的IP,而非客户端的真实IP。先通过下面一些例子演示下 $remote_addr 和 X-Forwarded-For 的情况。

请求 -> proxy1 -> proxy2 -> proxy3 -> 后端服务(/hello)

proxy1、2、3在同一台机器(仅作测试)。

使用 $remote_addr

内置变量参考 ngx_http_core_moduleEmbedded Variables 部分。

$remote_addr 表示客户端的IP。

为了方便,为proxy1、2、3 设置如下日志格式:

log_format proxy1 '"[proxy1]" $remote_addr "$request" $status';
log_format proxy2 '"[proxy2]" $remote_addr "$request" $status';
log_format proxy3 '"[proxy3]" $remote_addr "$request" $status';

访问后,日志如下:

"[proxy1]" 36.157.229.110 "GET /hello HTTP/1.1" 200
"[proxy2]" 127.0.0.1 "GET /hello HTTP/1.0" 200
"[proxy3]" 127.0.0.1 "GET /hello HTTP/1.0" 200

结果:proxy1 拿到的是真实IP(36.157.229.110是我的IP),proxy2拿到的是proxy1的IP,proxy3 拿到的是proxy2的IP。

使用 X-Forwarded-For

在 nginx ngx_http_proxy_module的 proxy_set_header 指令中,可以通过内置变量 KaTeX parse error: Double subscript at position 12: proxy_add_x_̲forwarded_for**…remote_addr 的值追加到 X-Forwarded-For 中。若请求头中没有 X-Forwarded-For,那么 $proxy_add_x_forwarded_for 的值和 $remote_addr 相等。

在日志中打印出 $proxy_add_x_forwarded_for 的值。

log_format proxy1 '"[proxy1]" $remote_addr $proxy_add_x_forwarded_for "$request" $status';
log_format proxy2 '"[proxy2]" $remote_addr $proxy_add_x_forwarded_for "$request" $status';
log_format proxy3 '"[proxy3]" $remote_addr $proxy_add_x_forwarded_for "$request" $status';

proxy1、2、3 的配置中都加上:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

访问后,日志如下(文中有好几处日志,看着容易乱,尤其是第二部分$proxy_add_x_forwarded_for的值,需要通过逗号来区分):

"[proxy1]" 36.157.229.110 36.157.229.110 "GET /hello HTTP/1.1" 200
"[proxy2]" 127.0.0.1 36.157.229.110, 127.0.0.1 "GET /hello HTTP/1.0" 200
"[proxy3]" 127.0.0.1 36.157.229.110, 127.0.0.1, 127.0.0.1 "GET /hello HTTP/1.0" 200

结果:

  • proxy1中,$proxy_add_x_forwarded_for 值与 $remote_addr 相同,都是客户端的实际IP
  • proxy2中, r e m o t e a d d r 为 p r o x y 1 的 I P , remote_addr 为 proxy1的IP, remoteaddrproxy1IPproxy_add_x_forwarded_for 中追加了 proxy1的IP,成了36.157.229.110, 127.0.0.1
  • proxy3中,$proxy_add_x_forwarded_for 中继续追加了proxy2的IP,此时,X-Forwarded-For值为客户端实际IP, proxy1 IP, proxy2 IP

因此,此时取 X-Forwarded-For 中第一个IP得到的确实为客户端真实IP。

伪装请求链路

还是基于上一步的配置,但客户端请求头中人为添加:X-Forwarded-For=192.168.1.1, 192.168.1.2,再看看结果:

"[proxy1]" 36.157.229.110 192.168.1.1, 192.168.1.2, 36.157.229.110 "GET /hello HTTP/1.1" 200
"[proxy2]" 127.0.0.1 192.168.1.1, 192.168.1.2, 36.157.229.110, 127.0.0.1 "GET /hello HTTP/1.0" 200
"[proxy3]" 127.0.0.1 192.168.1.1, 192.168.1.2, 36.157.229.110, 127.0.0.1, 127.0.0.1 "GET /hello HTTP/1.0" 200

此时,$proxy_add_x_forwarded_for 的值会 基于 X-Forwarded-For 现有值 继续追加IP。因此,真实IP位于X-Forwarded-For 中哪个位置是不清楚的。

如何获取真实IP?

使用 X-Forwarded-For + realip模块

可以使用nginx的 ngx_http_realip_module 模块,从 X-Forwarded-For 或其他属性中提取真实IP。此处以 X-Forwarded-For 结合该模块为例子,需要做两件事:

  • 一是请求途径的各代理需要设置 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  • 二是利用 realip 模块获取真实IP

这里proxy3的部分配置(proxy3将请求直接转发到后端服务),如下:

server {
	...
    location / {
        set_real_ip_from 127.0.0.1; 
        real_ip_header    X-Forwarded-For;
        real_ip_recursive on;
        ...
    }
}
  • set_real_ip_from: 表示从何处获取真实IP(解决安全问题,只认可自己信赖的IP),可以是IP或子网等, 可以设置多个set_real_ip_from。
  • real_ip_header:表示从哪个header属性中获取真实IP
  • real_ip_recursive:递归检索真实IP,若从 X-Forwarded-For 中获取,则需递归检索;若像从X-Real-IP中获取,则无需递归。

基于上一步的测试数据,试验结果:

"[proxy1]" 36.157.229.110 192.168.1.1, 192.168.1.2, 36.157.229.110 "GET /hello HTTP/1.1" 200
"[proxy2]" 127.0.0.1 192.168.1.1, 192.168.1.2, 36.157.229.110, 127.0.0.1 "GET /hello HTTP/1.0" 200
"[proxy3]" 36.157.229.110 192.168.1.1, 192.168.1.2, 36.157.229.110, 127.0.0.1, 36.157.229.110 "GET /hello HTTP/1.0" 200

此时,proxy3 的 $remote_addr 已经拿到了客户端的真实IP 36.157.229.110,然后 proxy3 将 remote_addr 传递到后端服务中去。

使用X-Forwarded-For + 安全设置

由于客户端可以自行传递X-Forwarded-For,因此,可以在第一个代理处重置其值,达到忽略客户端传递的X-Forwarded-For的效果。

在 proxy1 中进行如下配置:

proxy_set_header X-Forwarded-For $remote_addr;

使用 X-Real-IP

由于proxy1的 $remote_addr 是客户端真实IP,因此在 proxy1 中将X-Real-IP的值设置为 $remote_addr 即可。

proxy_set_header X-Real-IP $remote_addr;

配置下日志格式(日志中可以使用 $http_ + 自定义属性来打印其值):

log_format proxy1 '"[proxy3]" $http_x_real_ip "$request" $status';
log_format proxy2 '"[proxy3]" $http_x_real_ip "$request" $status';
log_format proxy3 '"[proxy3]" $http_x_real_ip "$request" $status';

结果为:

"[proxy1]" - "GET /hello HTTP/1.1" 200
"[proxy2]" 36.157.229.110 "GET /hello HTTP/1.0" 200
"[proxy3]" 36.157.229.110 "GET /hello HTTP/1.0" 200

proxy1 中设置了X-Real-IP的值,proxy2、proxy3日志中可以看到该值

小结

实际应用中,在代理层处理好客户端真实IP,开发时直接获取即可。有些网上的例子,经常先取remoteAddr,然后取X-Real-IP,再取X-Forwarded-For,就属于代理层不做配置,把细节都丢给了后端服务来处理。

欢迎关注陈同学的公众号,一起学习,一起成长

cyjrun
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx环境使用CDN加速后网站日志获取真实用户IP地址方法
Bertram的博客
10-09 740
如今网站使用CDN加速已经越来越普及,在一定程度上可以解决我们自身服务器速度慢问题,有些朋友的服务器主机放在海外,由于物理距离和各种问题,国内的用户访问速度是比较慢的。我们可以用到CDN进行加速用户访问,因为CDN会根据用户所在的节点进行就近提供节点访问。 同时,我们还可以对一些不合理的访问记录进行拦截,虽然免费的工具作用不是很大,但是比不用还是有点用途的,但是我们肯定会发现,如果网站在使用CDN加速工具之后,如果我们希望查看网站日志,在记录的IP会看到全部都是CDN节点的IP,而不是用户真实的用户IP记录
使用nginx反向代理后如何在后台web应用获取用户ip
zsj777的专栏
02-15 374
问题背景 在实际应用,我们可能需要获取用户的ip地址,比如做异地登陆的判断,或者统计ip访问次数等,通常情况下我们使用 request.getRemoteAddr() 就可以获取到客户端ip,但是当我们使用了nginx作为反向代理后,使用request.getRemoteAddr()获取到的就一直是nginx服务器的ip的地址,那这时应该怎么办? 原理解释 经过反向代理后,由于在客户...
X-Forwarded-For Nginx 文档整理
01-18
x-forwarded-for
让iis记录nginx反向代理的真实ip
01-10
一、设置X-Forwarded-For段 nginx配置示例: 代码如下:server{   location   {      …     proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;     …   }} 二、在iis站点上安装isapi filter 在f5的开发论坛上找到的,按开发者的话说,是为了解决iis放在f5后记录不到用户ip的问题,管他前端是f5还是nginx还是squid还是haproxy,都可以用。装完之后重启下iis即可。https://devcentral.f5.com/weblogs/J
nginx 从$http_x_forwarded_for 获取第一个参数
最新发布
cn_yaojin
02-26 690
变量通常包含了客户端的原始 IP 地址以及可能经过的代理服务器的 IP 地址列表,这些地址由逗号分隔。截取第一个参数(即最左边的 IP 地址),你可以使用 Nginx 的内置变量处理功能。变量来引用截取后的第一个 IP 地址。现在,你可以在你的 Nginx 配置使用。使用它来记录这个 IP 地址,或者在。下面是一个示例配置,展示了如何截取。使用它来记录访问日志。在 Nginx
Nginx-GUI-For-Windows-x64-v1.6.zip
12-06
nginx配置启动状态,系统状态可视化管理,降低配置难易程度,提供维护和可视化效果。
win环境使用nginxnginx-http-flv-module.zip
08-24
在windows 7 64位 环境下使用nginxnginx-http-flv-module搭建flv视频流播放所有的安装包,参考:https://blog.csdn.net/qq_33071429/article/details/102628008
Nginx-GUI-For-Linux-X64-v1.6.zip
12-06
Nginx-GUI-For-Linux_X64_v1.6.zip
nginx-通过X-Forwarded-For获取客户端真实IP
qq522044637的博客
10-09 5708
通过X-Forwarded-For获取客户端真实IP
Java面试-如何获取客户端真实IP
dinglianluan8301的博客
09-20 539
在进行一些小游戏开发时,我们经常比较关注的一个功能便是分享。针对分享,我们希望能根据各个城市或者地区,能有不同的分享文案,辨识地区的功能如果由服务器来完成的话,我们就需要知道客户端的真实IP。今天我们就来看看服务器是如何获取到客户端的真实IP的。 nginx配置 首先,一个请求肯定是可以分为请求头和请求体的,而我们客户端的IP地址信息一般都是存储在请求头里的。如果你的服务器有用Ngin...
Nginx【多级代理透传真是IP
L596462013的博客
06-19 2087
【代码】Nginx【多级代理透传真是IP
你确信 X-Forwarded-For 拿到的就是用户真实 IP 吗?
gman344的博客
07-18 890
X-Forwarded-For 拿到的就是真实 IP 吗? 1.故事 在这个小节开始前,我先讲一个开发的小故事,可以加深一下大家对这个字段的理解。 前段时间要做一个和风控相关的需求,需要拿到用户的 IP,开发后灰度了一小部分用户,测试发现后台日志里灰度的用户 IP 全是异常的,哪有这么巧的事情。随后测试发过来几个异常 IP: 10.148.2.12210.135.2.3810.149.12.33... 一看 IP 特征我就明白了,这几个 IP 都是 10 开头的,属于 A 类 IP 的私有 IP 范围(.
nginx获取用户IP的姿势
天码行空的码的博客
08-16 7334
如果有 http header 有 X-Real-IP,则使用它的值作为用户IP 如果 http header 有 X-Forwarded-For,则使用第一个值作为用户IP 否则,使用 remote address 作为用户IP X-Forwarded-For 属于 RFC 7239,用法:X-Forwarded-For: client, proxy1, proxy2 而 X-Rea...
nginx配置获取客户端的真实ip
superzhang6666的博客
09-15 4989
对于首层代理服务器,使用来将客户端IP赋值给X-Forwarded-For请求头对于非首层代理服务器,使用来将客户端请求头的X-Forwarded-For和$remote_addr两部分用逗号分隔后赋值给X-Forwarded-For请求头ursive on;这样,nginx 就会把 X-Forwarded-For 字段最后一个非 192.168.56.1 的 IP 赋值给 $remote_addr 变量,作为客户端真实IP。对于首层代理服务器,使用。
x-forward-for获取客户端真实ip
热门推荐
na_tion的专栏
06-22 3万+
文章来源:http://www.360doc.com/myfollow.aspx 先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC定义的标准请求头信息,在squid缓存代理服务器开发文档可以找到该项的
Grafana展示精美的nginx访问日志图表
会哭的雨@的博客
03-01 2410
ELK 7.10 搭建 ELK 7.10 搭建请参考容器部署ELK7.10,适用于生产 Grafana展示Nginx图表 Nginx 日志字段配置 注意:请确保 nginx 使用该字段,NginxKey名称如果有修改,Logstash和Grafana模板需要根据自己Nginx字段来修改 log_formataka_logs '{"@timestamp":"$time_iso8601",' '"host":"$hostname",' '"server_i...
nginx获取经过层层代理后的客户端真实IP(使用正则匹配)
weixin_30644369的博客
11-24 244
今天帮兄弟项目搞了一个获取客户端真实IP的问题,网上这种问题很多,但是对于我们的场景都不太合用,现把我的解决方案share给大家,如有问题,请及时指出。 场景: 在请求到达后端服务之前,会经过层层代理的转发。 一般的解决方案: proxy_set_header Host $host; proxy_set_...
Nginx 获取客户端真实IP $remote_addr与X-Forwarded-For
小楼一夜听春雨,深巷明朝卖杏花
06-09 3万+
nginx配置 首先,一个请求肯定是可以分为请求头和请求体的,而我们客户端的IP地址信息一般都是存储在请求头里的。如果你的服务器有用Nginx做负载均衡的话,你需要在你的location里面配置X-Real-IP和X-Forwarded-For请求头: location ^~ /your-service/ { proxy_set_header X-Real-IP $remote_addr; pro
Servlet获取客户端请求的真实IP
走自己的路
01-16 2475
private String getIpAddr(HttpServletRequest request) {         String ip = request.getHeader("X-Real-IP");         if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)){
nginx X-Forwarded-For
07-28
Nginx的X-Forwarded-For是一个HTTP请求头,它用于指示原始客户端的IP地址。当请求通过代理服务器或负载均衡器时,X-Forwarded-For头可以帮助服务器获取真实的客户端IP地址。 在Nginx配置,可以使用proxy_set_header指令来设置X-Forwarded-For头。例如,可以使用以下配置将客户端的IP地址设置为X-Forwarded-For头的值: ``` location / { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://backend; } ``` 在这个例子,$proxy_add_x_forwarded_for变量将会包含原始客户端的IP地址,并将其设置为X-Forwarded-For头的值。这样,后端服务器就可以通过读取X-Forwarded-For头来获取真实的客户端IP地址。 需要注意的是,X-Forwarded-For头的值可以被伪造,因此在使用该值进行身份验证或安全相关的操作时需要谨慎处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值