雷池+frp 批量设置proxy_protocol实现真实IP透传

于 2024-10-09 09:36:21 发布
阅读量470 收藏 10
点赞数 3
文章标签: qt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43689451/article/details/142778333
版权

在使用雷池(LaiChi)和 FRP(Fast Reverse Proxy)进行代理时,如果需要实现真实 IP 的透传,可以通过启用 proxy_protocol 来完成。proxy_protocol 允许代理服务器在与后端服务通信时,将客户端的原始 IP 地址传递给后端。下面是实现这一功能的详细步骤。

1. 什么是 Proxy Protocol?

Proxy Protocol 是由 HAProxy 引入的一种协议,用于在代理与后端服务器之间传递客户端的真实 IP 地址。它会在 TCP 连接的起始部分插入一个包含原始客户端 IP 和端口的报头。后端服务器读取这个报头,就能获取到客户端的真实 IP,而不是代理服务器的 IP。

2. FRP 支持 Proxy Protocol

FRP 支持通过 proxy_protocol 选项启用 Proxy Protocol,这样 FRP 就能将客户端的原始 IP 地址传递给后端服务器。

FRP 的配置主要分为两部分:

  • frps(FRP 服务端)配置
  • frpc(FRP 客户端)配置

3. 雷池和 FRP 配置 Proxy Protocol

3.1 FRP 服务端配置(frps.ini)

在 FRP 服务端配置中,启用 proxy_protocol_version 参数,指定代理协议版本为 v1v2,这是 Proxy Protocol 的版本。

frps.ini 示例:

[common]
bind_port = 7000

# 开启 proxy_protocol
proxy_protocol_version = v1

如果你有多个服务监听不同的端口,你也可以为不同的服务单独启用 Proxy Protocol。

例如:

[common]
bind_port = 7000

# 针对 http 和 tcp 服务分别设置 proxy_protocol
[http]
bind_port = 8080
proxy_protocol_version = v1

[tcp]
bind_port = 9000
proxy_protocol_version = v2
3.2 FRP 客户端配置(frpc.ini)

客户端不需要做特别的 Proxy Protocol 配置,只需正常配置即可,像下面这样:

frpc.ini 示例:

[common]
server_addr = x.x.x.x
server_port = 7000

[web]
type = http
local_port = 80
remote_port = 8080

[ssh]
type = tcp
local_port = 22
remote_port = 9000

这里 local_port 指向的是你客户端的本地服务,remote_port 是在 FRP 服务端暴露的端口。

3.3 雷池 (LaiChi) 的配置

雷池是一个高性能的 L4 代理(Layer 4 Proxy),用于传输 TCP/UDP 流量。要在雷池中启用 Proxy Protocol,需要在对应的监听配置中启用 proxy_protocol

你可以在雷池的 lai.conf 中添加如下配置:

server {
    listen 8080;
    proxy_protocol on;

    # 指定后端服务地址
    proxy_pass 127.0.0.1:8081;
}

其中:

  • listen 8080; 表示监听 8080 端口。
  • proxy_protocol on; 启用 Proxy Protocol 功能,允许将真实 IP 透传到后端。
  • proxy_pass 127.0.0.1:8081; 表示将流量转发给本地的 8081 端口。

4. 后端服务配置

要正确处理 Proxy Protocol,后端服务也需要能够识别和处理该协议。许多常见的服务(例如 NGINX、HAProxy)都支持 Proxy Protocol。

4.1 NGINX 后端配置

如果后端服务是 NGINX,则需要启用 Proxy Protocol:

server {
    listen 8081 proxy_protocol;

    location / {
        proxy_pass http://localhost:8080;
        real_ip_header proxy_protocol;
        set_real_ip_from 0.0.0.0/0;
    }
}
  • listen 8081 proxy_protocol; 启用 Proxy Protocol 监听。
  • real_ip_header proxy_protocol; 指定使用 Proxy Protocol 中的真实客户端 IP。

5. 批量配置

如果你有多个服务需要开启 Proxy Protocol,可以通过配置模板或者脚本化的方式批量修改 frps.ini 和雷池的 lai.conf,从而实现批量处理。

批量配置示例(简单 Shell 脚本):

你可以编写一个简单的脚本来自动为多个服务添加 Proxy Protocol 支持。

#!/bin/bash

services=("http" "tcp" "udp")
ports=("8080" "9000" "10000")

# 生成 frps.ini 配置
for i in "${!services[@]}"; do
  echo "[${services[$i]}]" >> frps.ini
  echo "bind_port = ${ports[$i]}" >> frps.ini
  echo "proxy_protocol_version = v1" >> frps.ini
done

# 生成 lai.conf 配置
for i in "${!ports[@]}"; do
  echo "server {" >> lai.conf
  echo "    listen ${ports[$i]};" >> lai.conf
  echo "    proxy_protocol on;" >> lai.conf
  echo "    proxy_pass 127.0.0.1:${ports[$i]};" >> lai.conf
  echo "}" >> lai.conf
done

这个脚本会根据你定义的 servicesports 列表,批量生成对应的 FRP 和雷池的配置。

6. 验证 Proxy Protocol 是否生效

你可以通过后端服务的日志来验证真实 IP 是否透传。比如,在 NGINX 日志中,可以查看客户端 IP 是否已经由 Proxy Protocol 透传成功。

检查客户端 IP
tail -f /var/log/nginx/access.log

你应该能看到真实的客户端 IP 地址,而不是代理服务器的 IP。

总结

通过在雷池和 FRP 中启用 proxy_protocol,可以实现客户端真实 IP 的透传。配置包括以下几个关键步骤:

  1. 在 FRP 服务端配置中启用 proxy_protocol_version
  2. 在雷池(LaiChi)中启用 proxy_protocol
  3. 确保后端服务(例如 NGINX)支持并处理 Proxy Protocol。
  4. 如果有多个服务,可以通过脚本批量生成配置文件。

这些步骤可以帮助你在使用代理的场景中保留客户端的真实 IP 信息。

先天无极编程圣体
关注
浏览器出现无法连接到代理服务器,错误代码 ERR_PROXY_CONNECTION_FAILED解决方案
weixin_43178406的博客
07-23 6万+
本文主要介绍了浏览器出现 无法连接到代理服务器,错误代码 ERR_PROXY_CONNECTION_FAILED解决方案,希望能对使用浏览器上网的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
frpproxy_protocol_version
souvir的博客
02-03 1164
只有客户端应用支持proxy_protocol,才能开启这个功能,并把真实ip当做数据传送。
【折腾笔记】雷池WAF+FRP+Nginx实现安全可靠的内网穿透
最新发布
小小笔记大大用处
09-24 1023
在网上看了许多关于WAFFRPNginx的方式来保护内网穿透的Web服务,但是在网上搜寻的结果都是将WAF部署在了源站上面,由于我的Web服务都是部署在NAS上面,然后使用Frp来穿透访问的,我认为WAF应该部署在服务器上面比较合适,在服务器上面进行拦截异常访问和攻击,这样能大大降低源站的压力。本次教程主要讲解雷池WAF的安装部署过程以及配合FRP和Nginx来实现安全可靠的内网穿透,FRP和Nginx的部署教程我在前面的笔记中已经有记录。雷池WAF。
frp-内网穿透工具1
Antrn
04-02 1000
目录项目地址开发状态架构使用示例下载安装通过 ssh 访问公司内网机器修改 frps.ini 文件启动 frps:修改 frpc.ini 文件启动 frpc:访问测试其他配置安全地暴露内网服务示例配置frpc客户端热加载配置文件获取用户真实 IP通过密码保护你的 web 服务最后参考资料 项目地址 github-frp 由于个人计算机以及可移动设备的数量增多,现在人们面临的很大的问题是“没有公网 ...
frp 内网穿透(http、https、websocket、proxy protocol
qq_31220203的博客
03-10 1万+
http正向代理,http、https、tcp、websocket内网穿透
FRP下开BungeeCord跨服服务器返回真实IP
qq_34922260的博客
12-01 3791
原理 在开MC服务器时,若使用frp,我们通常会使用tcp映射,也就是frpc.ini中的: type = tcp 在frp原github的readme中明确给出,使用frp时,返回真实ip的方式有两种,分别是HTTP X-Forwarded-For与Proxy Protocol。 而前者只适用于HTTP映射,后者则支持全tcp映射 原readme中是这么给出的: frp 支持通过 Proxy ...
nginx和proxy_protocol协议
一个致力于开源代码学习、分析和交流的博客
05-31 2263
本文详细介绍了nginx对proxy_protocol协议支持,以及如何进行配置来开启proxy_protocol协议功能
nginx四层代理客户端真实IP透出
别来沾边儿
06-17 2351
架构 LBS配置(TCP模式) LBS 使用 nginx stream 模块实现, 需要在配置中开启 LBS不限于nginx, 也会有Haproxy 实现, 同样需要开启 proxy_protocol.ingress 开启 proxy_protocol, 需要在ingress configMap 中添加 use-proxy-protocol: "true": nginx-proxy 如果没有 ingress , 需要在nginx listen参数上添加proxy_protocol....
nginx(三十九) post_read阶段ngx_http_realip_module模块学习
wzj_110的博客
10-01 1984
http_real_ip模块学习
Nginx实战:nginx中的IP透传
龙叔运维的博客
05-16 2260
公司生产环境中,系统的架构一般都不会直接让用户访问服务端,中间可能会经过一个甚至多个转发层(F5,citrix,HAproxy,nginx等等)这也就会出现一个问题,经过一次或者多次转发之后,服务端如何能获取到用户的真实IP用户的真实IP在经过层层转发之后,还能传递到服务端,这就是IP透传
Linux-frp代理https获取真实IP
csdn_yasin的博客
12-30 4183
Linux-frp代理https获取真实IP
搭建内网穿透
m0_61578123的博客
09-22 596
​搭建网站这么久,我用过不少内网穿透,飞鸽、ngrok、openfrp、樱花、乐青等等,他们都有或多或少的问题,价格太贵或是节点访问慢、不稳定,导致我最后放弃了使用它们,决定自己搭一个内网穿透
Frp+长亭雷池waf+Nginx实现内网穿透
qq_38525486的博客
07-08 2880
以上配置能够实现访问为SSL加密的,但是会存在一个问题是waf内始终获取不到proxy_protocol内的客户端真实地址并且会报错Header头损坏。但是使用http协议进来的请求是OK的,所以怀疑是plugin转http时重写了Header导致。可以点击详情查看拦截的详细信息,在调试获取真实IP的时候可以通过这里查看请求 来判断是否有传入真实IP地址。例如:以上X-real-IP获取的为我的公网访问地址,那么我们需要去【通用配置】中修改如下配置。另外这里的端口和域名都为frpc内配置的请求地址和端口。
frp使用教程(转)
Ache的博客
07-08 2841
frp frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp 协议,为 http 和 https 应用协议提供了额外的能力,且尝试性支持了点对点穿透。GitHub地址 使用示例 根据对应的操作系统及架构,从 Release 页面下载最新版本的程序。 将 frps 及 frps.ini 放到具有公网 IP 的机器上。 将 frpc 及 frpc.ini 放到处于内网环境的机器上...
内网渗透 | FRP代理工具详解
热门推荐
mingyqf的博客
12-07 1万+
FRP工具的使用 FRP官方文档:https://gofrp.org/docs 一、FRP工具的介绍 1.为什么需要内网穿透 我们的物理机、服务器可能处于路由器后或者处于内网之中。如果我们想直接访问到这些设备(远程桌面、远程文件、SSH等等),一般来说要通过一些转发或者P2P(端到端)组网软件的帮助。 其实,对于FRP穿透工具来说,它和端口转发有所不同,端口转发是只会进行单个端口的流量转发,但是这在渗透中往往是不行的,我们通过通过FRP进行内网的全流量的数据代理,像FRP可以代理全端口、全流量的数据,这样我
proxy-protocol 协议
achejq的专栏
01-28 1474
nginx实战-frp+docker+nginx+tomcat内网穿透无法获取客户端真实ip
Blueeyedboy521的博客
07-01 2462
浏览器–>frp–>nginx(docker)–>tomcat在公网部署了frp服务,在本地内网docker环境下安装好了nginx服务,访问内网中的tomcat,但我查看nginx的日志时,发现记录的ip全是内网docker的ip,没有获取到真实的访问ip。 用查看本地docker环境的ip,发现nginx获取到的ip全部是docker的gateway的ip 原因分析 查了一下frp文档,文档中简单的说了下,需要在frpc.ini配置文件中 ,需要增加一行,便可以开启记录真实ip的功能。在frpc.ini
FRP使用
anshiquanshu的专栏
01-02 2006
Development Status frp is under development. Try the latest release version in themasterbranch, or use thedevbranch for the version in development. The protocol might change at a release and we don't promise backwards compatibility. Please check the ...
我使用flask创建了个http服务,使用frp为该服务映射至外网供人访问,frp使用了proxy_protocol_v2,但是外网用户访问http服务时报错400,如何解决
07-13
这个问题可能是由于proxy_protocol_v2配置不正确引起的。请确保你已经按照正确的方式配置了frpproxy_protocol_v2选项。 首先,你需要在frp服务端的配置文件中启用proxy_protocol_v2。打开frps.ini文件,找到[common]段,添加或修改以下配置: ``` vhost_http_proxy_protocol = true ``` 然后,你需要在flask应用中处理proxy protocol头部。Flask默认是不解析proxy protocol头部的,但你可以使用第三方库werkzeug.contrib.proxy_fix来解决这个问题。在你的flask应用中,添加以下代码: ```python from werkzeug.contrib.fixers import ProxyFix app = Flask(__name__) app.wsgi_app = ProxyFix(app.wsgi_app, x_for=1, x_proto=1, x_host=1) ``` 这样配置后,Flask将会解析proxy protocol头部,并正确处理外部请求。 完成以上配置后,重新启动flask和frp服务,然后尝试访问你的http服务,看是否还存在400错误。如果问题仍然存在,请检查frp和flask的日志,查看是否有其他错误信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

先天无极编程圣体

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值