项目上Nginx 多级代理下是这样获取客户端的真实IP地址?

最新推荐文章于 2024-03-13 22:35:53 发布
最新推荐文章于 2024-03-13 22:35:53 发布
阅读量290 收藏 2
点赞数 1
文章标签: nginx java linux tomcat http
原文链接:https://mp.weixin.qq.com/s?__biz=MzU2NDc4MjE2Ng==&mid=2247492882&idx=1&sn=f134e3171e6e79f41501b3017d3236fa&chksm=fc47102bcb30993d34c7b1863820404d5c50e28c792ac72252dee81a4ed175497ba909e3cabb&scene=126&&sessionid=0
版权

多级代理中获取客户端真实IP

日志的格式

nginx中常用日志格式配置如下:

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                  '$status $body_bytes_sent "$http_referer" '
                  '"$http_user_agent" "$http_x_forwarded_for"';
access_log  /var/log/nginx/access.log  main;

其中的main为日志格式的别名,在使用的时候直接使用别名即可。

例子:

10.0.3.137 - - [09/Oct/2020:09:41:02 +0800] "GET / HTTP/1.0" 304 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" "10.1.9.98"
4eeda1e28d447b3136a6e478c02a93af.png

日积月累下,日志文件会越来越大,日志文件太大严重影响服务器效率,所以需要定时对日志文件进行切割。

由于这里是演示,所以切割方式是按分钟来切割,正常生产上使用一般是按天来进行分割:

#!/bin/bash
#日志文件存放目录
LOGS_PATH=/usr/local/nginx/logs
#备份文件名称
YESTERDAY=$(date -d "yesterday" +%Y%m%d%H%M)
#重命名日志文件
mv ${LOGS_PATH}/access.log ${LOGS_PATH}/access_${YESTERDAY}.log
mv ${LOGS_PATH}/error.log ${LOGS_PATH}/error_${YESTERDAY}.log
## 向 Nginx 主进程发送 USR1 信号。USR1 信号是重新打开日志文件
kill -USR1 $(cat /usr/local/nginx/logs/nginx.pid)

然后添加定时任务:

# crontab -e
*/1 * * * * /bin/bash /usr/local/nginx/logs/nginx_log.sh

获取客户端真实IP

服务器资源分配情况如下:

  • 10.1.9.98:充当客户端

  • 10.0.3.137:一级代理

  • 10.0.4.105:二级代理

  • 10.0.4.129:三级代理

  • 10.0.4.120:服务器端,为了方便,这里使用一个nginx充当服务器端,正常情况下一般是一个web服务器,如tomcat。

各个服务初始配置如下:

10.0.3.137的配置:

worker_processes  1;

events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    log_format main '$remote_addr - $http_x_forwarded_for - $http_x_real_ip';

    access_log  logs/access.log  main;

    server {
        listen  80;

        location / {
                # proxy_set_header X-Real-IP $remote_addr;
                # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_pass http://10.0.4.105;
        }
    }

}

0.0.4.105的配置,其他配置与10.0.3.137的一致:

...
        location / {
                # proxy_set_header X-Real-IP $remote_addr;
                # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_pass http://10.0.4.129;
        }
...

10.0.4.129的配置,其他配置与10.0.3.137的一致:

...
        location / {
                # proxy_set_header X-Real-IP $remote_addr;
                # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_pass http://10.0.4.120;
        }
...

10.0.4.120的配置,其他配置与10.0.3.137的一致

...
        location / {
                root html;
                index index.html;
        }
...

下面的记录为access.log中打印的结果:

979778bdd48dc1097e6de378b88af830.png
总结:

  • X-Forwarded-For是一个追加的过程,后面的代理会把前面代理的IP追加到X-Forwarded-For尾部,用逗号进行分隔。

  • 应用服务器(10.0.4.120)无法从X-Forwarded-For中获取到与它直连的代理服务器的IP(10.0.4.129),此时我们可以使用远程ip(表示直连的那台代理),当服务器无法过http_x_forwarded_for获得上级代理或者客户端的ip时(可能没有经过代理),应该使用$remote_addr

  • 在代理过程中至少有一个代理设置了X-Forwarded-For,否则后面的代理或者应用服务器无法获得相关信息。

  • X-Forwarded-For中虽然包含了真实的客户端IP,一般是第一个IP,但是如果客户端伪造了请求头,那么真实的客户端IP就不是第一个了。

  • HTTP中header里面的X-Real-IP只是一个变量,后面的设置会覆盖前面的设置,所以只需要在第一个代理服务器上设置proxy_set_header X-Real-IP $remote_addr即可,然后在应用端直接引用$http_x_real_ip就行。

在java中,如果请求没有经过nginx代理,可以使用如下方法获取客户端的真实IP:

# 类似nginx中的$remote_addr
request.getRemoteHost();

如果请求经过了nginx代理,可以从请求头中获取(前提是必须正确配置nginx才能获取到):

request.getHeader("x-real-ip");

如果是用的其他Apache,Squid等反向代理软件,同样是从请求头中获取真实IP,只是属性名不一样而已。

来源:morris131.blog.csdn.net/article/details/108991869

eaaee27232c76a8f3f74abe351af66b9.png

64dbeb459313029176f3767fb6b37618.gif

回复干货】获取精选干货视频教程

回复加群】加入疑难问题攻坚交流群

回复mat】获取内存溢出问题分析详细文档教程

回复赚钱】获取用java写一个能赚钱的微信机器人

回复副业】获取程序员副业攻略一份

f60f6ed87177acaa138adb9ce38356e0.png

好文请点赞+分享

99e503745ff6dab8cf6cff04834c7036.gif

独行侠梦
关注
多级nginx反向代理,如何获取客户端真实IP
zongyue_wang的博客
08-06 1117
1、Nginx Proxy直接把请求往后转发,没有做任何处理。 Nginx Proxy 10.10.107.107 nginx.conf location /test { proxy_pass http://10.10.107.112:8080; } 10.10.107.112 nginx.conf location /test { proxy_pass http://10.10....
nginx获取代理服务ip客户端真实ip
m0_67401761的博客
07-30 5503
这句话的意思是说,当你使用了nginx反向服务器后,在web端使用request.getRemoteAddr()(本质上就是获取remoteaddr),取得的是nginx的地址,即remote_addr),取得的是nginx的地址,即remoteaddr),取得的是nginx的地址,即remote_addr变量中封装的是nginx的地址,当然是没法获得用户的真实ip的。在默认情况下经过proxy转发的请求,在后端看来远程地址都是proxy端的ip。...
nginx经过多层代理获取真实来源ip过程详解
01-20
问题 nginx取 $remote_addr 当做真实ip,而事实上,$http_X_Forwarded_For 才是用户真实ip,$remote_addr只是代理上一层的地址 解决方案: 在 http 模块 加 set_real_ip_from 172.17.10.125; #上一层代理IP地址 real_ip_header X-Forwarded-For; real_ip_recursive on; 添加之后启动nginx报错: nginx: [emerg] unknown directive set_real_ip_from in /home/lnidmp/nginx/conf/
学习笔记 - Nginx在多层代理获取真实客户端IP地址
weixin_30344795的博客
02-03 2295
最近在研究nginx中如何获取真实客户端IP的方法。众所周知,在编译Nginx时,可通过添加http_realip_module模块来获取真实客户端IP地址。何为真实IP地址呢?请看下图,既获取到的真实客户端IP是101,既不是正向代理服的104,也不是反向代理的105。 我们以PHP为例来说明整个过程吧。 前期准备: 在/home/apps/realip.com/下新建index...
nginx 代理如何获取真实ip地址
ha2015的博客
02-28 3118
转载自:https://blog.csdn.net/it_0101/article/details/78390700 Nginx反向代理后,Servlet应用通过request.getRemoteAddr()取到的IPNginxIP地址,并非客户端真实IP,通过request.getRequestURL()获取的域名、协议、端口都是Nginx访问Web应用时的域名、协议、端口,而非客户...
NginxNginx多级代理获取客户端真实请求IP以及每级代理IP
在路上2017的专栏
04-18 488
撸了今年阿里、头条和美团的面试,我有一个重要发现.......>>> ...
Nginx多级代理,如何获取客户端真实IP
爱琴孩的博客
05-15 3117
获取客户端真实IP 服务器资源分配情况如下: 10.1.9.98:充当客户端 10.0.3.137:一级代理 10.0.4.105:二级代理 10.0.4.129:三级代理 10.0.4.120:服务器端,为了方便,这里使用一个nginx充当服务器端,正常情况下一般是一个web服务器,如tomcat。 各个服务初始配置如下: 10.0.3.137的配置: worker_processes1; events{ worker_connections1024; } http...
获取客户端真实IP(支持代理服务器)
02-20
### 获取客户端真实IP(支持代理服务器) #### 一、背景介绍 在Web开发过程中,有时候我们需要获取客户端真实IP地址,特别是在涉及到用户地理位置定位、安全控制等场景时尤为重要。然而,在实际应用中,很多情况...
Nginx透过代理获取真实客户端IP
zero
11-04 3468
本系列中的故事纯属虚构,如有雷同实属巧合 小B是’柒’公司的安全攻城狮,为了完成任务小B开始做起了调研(欲知背景如何,且听下回分说)。 首先小B弄明白了’柒’公司的应用系统架构是:Client --> CDN --> SLB --> Server。 发现在应用服务器上Nginx日志中采集的关于定位用户身份信息的IP维度数据不准确。不准确的原因是:因为在应用服务器中Nginx使用XFF与remote_addr字段采集客户IP,XFF字段很好被攻击者伪造,而remote_addr字段一般采集都
nginx多级代理设置获取真实IP地址
09-25
### 回答1: 关于nginx多级代理设置获取真实IP地址的问题,可以通过设置X-Forwarded-For头信息来获取客户端真实IP地址。在nginx的配置文件中,...通过以上配置,Nginx多级代理设置就可以获取真实客户端IP地址
Nginx多层代理获取真实客户端IP
qq_15549021的博客
11-19 145
Nginx是一般的应用最常用的web服务器,通常使用nginx来做一些反向代理,并且Nginx还可能是多层的。如果想在内部服务里面获取最原始的客户端IP地址,即访问用户的真实Ip地址。则需要做一些简单的配置。 最外层Nginx配置 为了防止X-Forwarded-For头的伪造,可在最外层Nginx将X-Forwarded-For设置为真实IP$remote_addr。 $remote_addr...
多层Nginx代理获取用户真实IP
东方客的博客
12-13 1527
proxy_add_x_forwarded_for:包括客户端请求头的X-Forwarded-For和$remote_addr,也就是包含真实用户IP和前面所有代理的列表 $http_x_forwarded_for:就是X-Forwarded-For的值,能够直接拿到用户真实IP
nginx多级代理配置获取客户端真实ip
最新发布
qq_44659804的博客
03-13 1922
nginx多级代理配置获取客户端真实ip
Nginx 多级代理下如何获取客户端真实IP地址
Java笔记虾
05-12 512
点击关注公众号,利用碎片时间学习多级代理获取客户端真实IP日志的格式nginx中常用日志格式配置如下:log_formatmain'$remote_addr-$remote_user[$time_local]"$request"' '$status$body_bytes_sent"$http_referer"'...
iptables限制ip访问_(转)nginx代理后,获取真实IP,做并发访问限制的方法(限流)
weixin_39667797的博客
11-29 594
站点在运行时,为了防止DDoS 攻击、或内部接口调用造成的数据迸发,nginx提供了limit限流模块:HttpLimitZoneModule 限制同时并发访问的数量HttpLimitReqModule 限制访问数据,每秒内最多几个请求一、普通配置:什么叫普通配置?普通配置就是针对【用户浏览器】→【网站服务器】这种常规模式的 nginx 配置。那么,如果我要对单 IP 做访问限制,绝大多数教程都是...
Nginx 多级代理环境下直接获取真实客户的IP地址
Qjj的博客
05-16 1906
 前阵子因为需求在集群web中为使用者开辟一个自定义变量为客户的真实IP地址.一般Nginx 直接使用X-Forwarded-For 即可获取真实访问者的IP.proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;这个X-Forwarded-For会叠加之前分节点IP,若要获取到单纯的访问者IP还需要手动处理比较麻烦.这里有...
nginx多级代理
几多心跳
10-30 2766
文章目录一、实验步骤1、docker config创建3台nginx配置文件2、集群node节点打标签3、docker-compose编排文件4、在manager节点创建目录5、部署服务6、访问测试总结: 测试环境说明:基于docker来测试。 3台centos7虚拟机,已搭建docker swarm集群,环境如下: #manager 192.168.240.131 82端口 #worker1 192.168.240.130 81端口 #worker2 192.168.240.129 80端口
nginx多次转发后获取客户请求IP
hngmduyi的专栏
04-29 1251
/** * * @Description:获取客户端请求IP地址,解决使用nginx请求转发后不能获取问题 * @param @param request * @param @return * @return String * @throws */ public String getIpAddr(HttpServletRequest request...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值