nginx stream realip使用

最新推荐文章于 2024-05-19 18:04:28 发布
最新推荐文章于 2024-05-19 18:04:28 发布
阅读量182 收藏
点赞数
文章标签: nginx 服务器 linux
原文链接:https://blog.timoq.com/2019/12/26/how-to-use-nginx-stream-realip-module
版权

前言

由于要开始用nginx的tcp代理,发现最终http打印出来的IP都是最后一个代理的内网IP,这就不方便去查问题了。那就依样画葫芦吧。但是发现个问题,TCP层面哪里有header头啊。还好nginx提供了stream_realip这个模块。

/configure --with-http_geoip_module --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_v2_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-file-aio --with-stream --with-stream_ssl_module --with-stream_realip_module --with-stream_geoip_module --with-stream_ssl_preread_module --with-pcre --prefix=/opt/nginx


我实际的网络结构如下:

user1 ---> SLB ---> nginx tcp proxy1 ---> nginx tcp proxy2 ---> nginx http server

先说这个处理的思路吧。大家都知道tcp是没有header这些东西的,那就只能从data部分来着手了。TCP proxy_protocol的定义其实就是在数据报文最前面加上对应的IP信息。然后最后一个server解开这个data前面的IP信息。

但是一开始没有这个思路,就看了官方文档大干快上。
Module ngx_stream_realip_module

排查

把nginx tcp proxy1和proxy2的配置改成如下:

server {
    set_real_ip_from 172.16.0.0/16;
    listen 21000 so_keepalive=on;
    proxy_pass goapi;
}

其中172.16.0.0/16是当中传输的网段,然后看了下nginx http server的日志,发现没有生效啊。这文档骗人啊。

然后放狗搜了下,这个哥们一样的问题
Nginx real client IP to TCP stream backend - Stack Overflow
于是上面的配置又改成了如下:

server {
    set_real_ip_from 172.16.0.0/16;
    listen 21000 proxy_protocol so_keepalive=on;
    proxy_protocol    on;
    proxy_pass goapi;
}

 结果这样改了,连服务都不通了,curl一下直接返回400了,看了下http server的日志

~ » curl -I http://api.timoq.com
curl: (52) Empty reply from server 

172.16.106.16 api.timoq.com - [2019-12-25T19:43:50+08:00] "PROXY TCP4 172.16.0.6 172.16.0.16 21000 80" 400 631 "-" "-" "-" 0.000|-|-|-|-||-|-$
 

nginx http server收到的请求变成了”PROXY TCP4 172.16.0.6 172.16.0.16 40173 80”, 而不是实际的URL。
现象就跟下面这个的一样

Verify if nginx is working correctly with Proxy Protocol locally - Stack Overflow

这看着还是配置文件不对导致的。看来各种教程有问题啊。于是又仔细看了看了下官方文档
Accepting the PROXY Protocol | NGINX Documentation

这篇还是说的比较清楚的,也就是我前面总结的那个。那我们重新梳理一下

 

user1 ---> SLB(透明代理) --->  nginx tcp proxy1(在data头部增加realip) ---> nginx tcp proxy2(默认tcp传输,不改变数据包) ---> nginx http server(解开nginx tcp proxy1里在data里增加的realip)

去nginx http server抓包看了下,确实如此:

>E@@I0j
ueWbQ/OH
fhPROXY TCP4 222.73.97.11 192.168.0.6 53136 21000
HEAD /aaaaa HTTP/1.1
Host: api.timoq.com
User-Agent: curl/7.54.0
Accept: */*

>E@@I0j
ueWbQ/OH
fhPROXY TCP4 222.73.97.11 192.168.0.6 53136 21080
HEAD /aaaaa HTTP/1.1
Host: api.timoq.com
User-Agent: curl/7.54.0
Accept: */*

终结

因此最终的配置就是如下了:

nginx tcp proxy1

server {
    set_real_ip_from 172.16.0.0/16;
    listen 21000 so_keepalive=on;
    proxy_protocol    on;  #特别注意这个
    proxy_pass goapi;
}

 nginx tcp proxy2

server {
    set_real_ip_from 172.16.0.0/16;
    listen 21000 so_keepalive=on;
    proxy_pass goapi;
}

nginx http server

http{
log_format proxy '$proxy_protocol_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
                    '"$http_referer" "$http_user_agent"';
#注意这里proxy_protocol_addr这个变量
server
{
    listen 80 proxy_protocol; #负责解开data头部数据

    set_real_ip_from 172.16.0.0/16;
    proxy_http_version 1.1;
    proxy_set_header Connection "";
    access_log /opt/logs/nginx/proxy_api.timoq.com proxy;
    server_name api.timoq.com;
    real_ip_header  proxy_protocol;
    proxy_set_header X-Real-IP       $proxy_protocol_addr;
    proxy_set_header X-Forwarded-For $proxy_protocol_addr;

    include conf.d/include/api.conf;
}
}

 

qq_34285319
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx透过代理获取真实客户端IP
zero
11-04 3448
本系列中的故事纯属虚构,如有雷同实属巧合 小B是’柒’公司的安全攻城狮,为了完成任务小B开始做起了调研(欲知背景如何,且听下回分说)。 首先小B弄明白了’柒’公司的应用系统架构是:Client --> CDN --> SLB --> Server。 发现在应用服务器Nginx日志中采集的关于定位用户身份信息的IP维度数据不准确。不准确的原因是:因为在应用服务器Nginx使用XFF与remote_addr字段采集客户IP,XFF字段很好被攻击者伪造,而remote_addr字段一般采集都
nginx 增加stream_realip_module模块
哈哈虎的博客
08-25 3802
使用 nginx TCP 转发 ssh / rdp 内网服务器看不到客户端的真实 ip ,全是 nginx 转发服务器的内网地址 直接 apt install nginx ,版本 1.14 需要增加stream_realip_module模块 nginx 代理协议文档 https://docs.nginx.com/nginx/admin-guide/load-balancer/using-proxy-protocol/ nginx stream 模块官网文档 http://nginx.org/en/docs
Nginx - 在Nginx中透传客户端真实IP的技巧
最新发布
小工匠
05-19 2202
使用 Nginx 作为反向代理服务器时,默认情况下,后端服务器只能看到 NginxIP 地址。为了记录日志、限制访问或进行其他基于 IP 地址的操作,获取客户端的真实 IP 地址非常重要。
Nginx官方文档(四十九)【ngx_stream_realip_module|ngx_stream_return_module|ngx_stream_split_clients_module】
极客神殿
09-25 1463
ngx_stream_realip_module 示例配置 指令 set_real_ip_from 内嵌变量 ngx_stream_realip_module 模块用于将客户端地址和端口更改为 PROXY 协议头(1.11.4)中发送。必须先在 listen 指令中设置 proxy_protocol 参数才能启用 PROXY 协议。 该模块不是默认构建的,您可以在构建时使用 --with-stream_realip_module 配置参数启用。 示例配置 listen 12345 proxy_p
后端nginx使用set_real_ip_from获取用户真实IP
zzhongcy的专栏
04-07 2332
假如说你的CDN厂商使用nginx,那么在nginx上将$remote_addr赋值给你指定的头,方法如下:后端PHP代码getRemoteUserIP.phpphpecho $ip;?访问getRemoteUserIP.php,结果如下:120.22.11.11 //取到了真实的用户IP,如果CDN能给定义这个头的话,那这个方法最佳优点:获取到最真实的用户IP地址,用户绝对不可能伪装IP缺点:需要CDN厂商提供。
nginx获取客户端真实ip
Merandღ的博客
03-19 4818
前提:当多层代理或使用CDN时,如果代理服务器不把用户的真实IP传递下去,那么业务服务器将永远不可能获取到用户的真实IPnginx的变量 remote_addr 代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器Nginx,Apache等)就会把remote_addr设为你的机器IP,如果...
nginx配置tcp负载均衡
hqzxsc2006的专栏
07-30 701
stream { log_format proxy '$remote_addr [$time_local] ' '$protocol $status $bytes_sent $bytes_received ' '$session_time "$upstream_addr" ' '"$ups...
Nginx屏蔽F5心跳日志、指定IP访问日志
09-30
Nginx中,日志管理是一项重要的任务,特别是对于大型网络环境,如负载均衡器F5等设备的使用,可能会产生大量无用的心跳日志,这些日志占用存储空间,也可能影响日志分析的有效性。本篇将详细介绍如何在Nginx中屏蔽...
nginx安装包 安装文档 和使用文档
08-31
proxy_set_header X-Real-IP $remote_addr; client_max_body_size 100m; } location ~ ^/(WEB-INF)/ { deny all; } error_page 500 502 503 504 /50x.html; location = /50x.html { root /var/www/html/;...
Nginx1.22.0版本Linux已编译可直接使用
08-03
Nginx 1.22.0 是一个流行的开源 Web 服务器和反向代理服务器,以其高性能、稳定性以及低内存占用而闻名。在 Linux 环境中部署 Nginx,用户通常需要自行编译源代码,配置所需模块并...prefix=/usr/local/nginx --with-...
nginx1.22.0
05-25
- `ngx_http_realip_module`: 设置真实客户端IP地址。 - `ngx_http_gzip_static_module`: 对静态内容进行GZIP压缩。 ### 启动和管理Nginx 1. 启动Nginx:`sudo nginx` 或 `sudo service nginx start` 2. 检查配置...
nginx版本升级步骤
01-25
--with-http_realip_module \ --with-http_addition_module \ --with-http_sub_module \ --with-http_dav_module \ --with-http_secure_link_module \ --with-http_gzip_static_module \ --with-...
nginx四层代理客户端真实IP透出
王羲之的之的博客
06-17 2206
架构 LBS配置(TCP模式) LBS 使用 nginx stream 模块实现, 需要在配置中开启 LBS不限于nginx, 也会有Haproxy 实现, 同样需要开启 proxy_protocol.ingress 开启 proxy_protocol, 需要在ingress configMap 中添加 use-proxy-protocol: "true": nginx-proxy 如果没有 ingress , 需要在nginx listen参数上添加proxy_protocol....
Nginx使用realip_module获取代理后的真实客户ip地址
m0_56796630的博客
09-19 274
realip_module
nginx使用stream配置代理
yingyuehuixing的博客
04-29 1339
【代码】nginx使用stream配置代理。
Nginx基于TCP/UDP端口的四层负载均衡(stream模块)配置梳理
jj1130050965的博客
12-11 1104
Nginx基于TCP/UDP端口的四层负载均衡(stream模块)配置梳理 通过我们会用Nginx的upstream做基于http/https端口的7层负载均衡,由于Nginx老版本不支持tcp协议,所以基于tcp/udp端口的四层负载均衡一般用LVS或Haproxy来做。至于4层负载均衡和7层负载均衡的区别,可以参考:http://www.cnblogs.com/kevingrace/p/6137881.html。然而Nginx从1.9.0版本开始,新增加了一个stream模块,用来实现四层协议的.
nginx通过stream模块实现反向代理
吸欧气
04-24 2274
默认安装的nginx是没有开启stream模块的,需要在安装时添加,如果已经安装了,后续安装的话,请看这篇文章NGINX的后续模块添加 下面已包含stream模块 ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_realip_module ...
nginx 多层代理 + k8s ingress 后端服务获取客户真实ip 配置
myy1066883508的博客
09-28 1399
ingress 多层代理获取真实客户端ip
nginx编译添加新模块
水彩橘子
03-06 3040
1、环境介绍 操作系统:centos 7.9 要添加模块:ngx_stream_realip_module(–with-stream_realip_module) 2、获取nginx版本并获取相应的源码包 /usr/local/nginx/sbin/nginx -v ngixn下载地址 http://nginx.org/en/download.html 3、获取nginx编译命令 /usr/local/nginx/sbin/nginx -V 4、进入下载的nginx 源码包,并执行添加过模块的编译命
nginx stream_realip_module
04-01
The nginx stream_realip_module is a module that allows nginx to obtain the real IP address of a client by replacing the client's IP address with the one specified in the X-Forwarded-For or X-Real-IP header. This is useful in situations where nginx is behind a load balancer or proxy server, as the original client IP address may be lost in the process. When the stream_realip_module is enabled, nginx replaces the client's IP address with the IP address specified in the X-Forwarded-For or X-Real-IP header. This allows the actual client IP address to be logged and used for access control, rate limiting, or other purposes. To use the stream_realip_module, the following steps are required: 1. Install nginx with the stream_realip_module enabled. 2. Add the following configuration to the nginx.conf file: ``` stream { real_ip_header X-Forwarded-For; real_ip_recursive on; ... } ``` In this example, the real IP address is obtained from the X-Forwarded-For header and the `real_ip_recursive` option is enabled to allow multiple X-Forwarded-For headers to be processed. 3. Restart nginx. Once the stream_realip_module is configured, nginx will obtain the real IP address of the client and use it in place of the proxy or load balancer IP address. This can help ensure that access control and other security measures are applied correctly.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值