解决网站使用WAF后无法获取用户真实IP地址的问题

最新推荐文章于 2024-07-06 09:16:09 发布
最新推荐文章于 2024-07-06 09:16:09 发布
阅读量1.3k 收藏 22
点赞数 20
分类专栏: sites 文章标签: tcp/ip 网络协议 网络 nginx linux 服务器 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wavemap/article/details/139693079
版权

请支持原文原创内容❤️:解决网站使用WAF后无法获取用户真实IP地址的问题 | BOBO Blog10/06/2024 在部署Web应用防火墙(WAF)以增强WordPress网站的安全性后,无法获取用户的真实IP地址,文章则详细介绍了如何在Nginx和Apache服务器上配置以解决这一问题。Nginx,如何使用set_real_ip_from和real_ip_header指令;Apache,如何启用并配置mod_remoteip模块。通过这些配置,WordPress可以正确记录访客的真实IP地址,从而改善日志记录和安全分析。文章包括具体的配置示例和操作步骤,确保能够顺利修改配置icon-default.png?t=N7T8https://www.soulcloser.com/4189/

引言

在部署Web应用防火墙(WAF)来增强WordPress网站的安全性后,您可能会发现用户的真实IP地址变得不可见。这是因为WAF通常会作为反向代理工作,将所有传入的流量转发到您的服务器,而您的服务器只会看到WAF的IP地址。特别是在需要记录和分析访客行为、阻止恶意用户或实施基于IP的访问控制时,显得尤为重要。

问题的根源

WAF在保护您的网站免受各种攻击(如DDoS攻击、SQL注入和跨站脚本攻击)时,充当了网站与外界之间的屏障。WAF通常会替换HTTP请求头中的IP地址,以显示其自身的IP地址,而不是客户端的IP地址。这会导致WordPress记录的IP地址不再是访客的真实IP地址。

解决方法

要解决这个问题,需要调整网址服务器和WAF的配置,确保服务器能够从WAF提供的HTTP请求头中提取到访客的真实IP地址。以下是各服务器的解决方法,并非只适用于WordPress

Nginx和OpenResty

大多数WAF都会在HTTP请求头中添加一个X-Forwarded-For(XFF)字段,其中包含了客户端的真实IP地址。我们可以配置WordPress来读取这个字段。通过修改wp-config.php文件貌似不能完全解决问题,最好是让服务器配置中直接处理真实IP地址。比如我的上游服务器使用的是Nginx,你需要在配置文件中的server块内添加以下指令(OpenResty也可以,它是基于nginx的)

set_real_ip_from [WAF的IP地址];

real_ip_header X-Forwarded-For;

你需要把[WAF的IP地址]替换为WAF的IP地址,注意没有括号哈。like this:

解决WordPress使用WAF后无法获取用户真实IP地址的问题

如果有多个WAF的IP地址,您需要为每个地址添加一行set_real_ip_from,需要多次使用set_real_ip_from,例如:

set_real_ip_from 192.168.0.1;

set_real_ip_from 192.168.0.2;
重启Nginx服务

完成配置修改后,记得校验配置文件是否正确和重新加载nginx服务以使配置生效:

sudo nginx -t

sudo systemctl reload nginx

Apache

在Apache中,获取真实用户IP地址的方式也可以类似配置的处理。使用mod_remoteip模块来实现这个功能。以下是具体的步骤:

1. 启用mod_remoteip模块

首先确保mod_remoteip模块已启用。可以通过以下命令启用该模块,然后重启Apache服务:

sudo a2enmod remoteip

sudo systemctl restart apache2
2. 配置httpd.conf或虚拟主机配置文件

在Apache的主配置文件(通常是httpd.conf或你的虚拟主机配置文件)中添加以下配置:

<IfModule mod_remoteip.c>

RemoteIPHeader X-Forwarded-For

RemoteIPTrustedProxy [WAF的IP地址]

</IfModule>

比如这个示例配置,你可以参考代码需要添加到的位置:

<VirtualHost *:80>

ServerName example.com

ServerAlias www.example.com

DocumentRoot /var/www/example.com/public_html

DirectoryIndex index.php index.html index.htm

<Directory /var/www/example.com/public_html>

Options Indexes FollowSymLinks

AllowOverride All

Require all granted

</Directory>

# Enable mod_remoteip

<IfModule mod_remoteip.c>

RemoteIPHeader X-Forwarded-For

RemoteIPTrustedProxy 203.0.113.0

RemoteIPTrustedProxy 198.51.100.0

</IfModule>

LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

CustomLog /var/log/apache2/example.com-access.log combined

ErrorLog /var/log/apache2/example.com-error.log

# Redirect HTTP to HTTPS

RewriteEngine On

RewriteCond %{HTTPS} !=on

RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]

</VirtualHost>

<VirtualHost *:443>

ServerName example.com

ServerAlias www.example.com

DocumentRoot /var/www/example.com/public_html

DirectoryIndex index.php index.html index.htm

<Directory /var/www/example.com/public_html>

Options Indexes FollowSymLinks

AllowOverride All

Require all granted

</Directory>

# Enable mod_remoteip

<IfModule mod_remoteip.c>

RemoteIPHeader X-Forwarded-For

RemoteIPTrustedProxy 203.0.113.1

RemoteIPTrustedProxy 198.51.100.1

</IfModule>

LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

CustomLog /var/log/apache2/example.com-access.log combined

ErrorLog /var/log/apache2/example.com-error.log

SSLEngine on

SSLCertificateFile /etc/ssl/certs/example.com.crt

SSLCertificateKeyFile /etc/ssl/private/example.com.key

SSLCertificateChainFile /etc/ssl/certs/chain.pem

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

SSLCipherSuite HIGH:!aNULL:!MD5

SSLHonorCipherOrder on

Header always set Strict-Transport-Security "max-age=31536000"

</VirtualHost>
注意

确保将 [WAF的IP地址] 替换为实际的WAF IP地址,没有括号哈。如果你有多个WAF IP地址,需要多次使用RemoteIPTrustedProxy,像上方举例的配置文件一样。例如:

RemoteIPTrustedProxy 203.0.113.1

RemoteIPTrustedProxy 198.51.100.1
重启Apache服务

完成配置修改后,重启Apache服务以使配置生效:

sudo systemctl restart apache2

通过以上配置,你的Apache服务器应该能够正确获取用户的真实IP地址。

总结

通过配置Nginx和Apache服务器解决网址使用WAF后无法获取用户真实IP地址的问题,获取用户的真实IP地址在提高网站安全性、优化用户体验、精准分析和统计、日志记录和合规、性能优化,以及客户支持方面都具有显著的好处!

希望这篇文章对你在WordPress中获取用户真实IP地址有帮助。文章分享链接:https://www.soulcloser.com/4189/ 交流论坛:https://bbs.soulcloser.com

wavemap
关注
  • 20
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
获得用户真实IP的四种方法
Radic Feng的专栏
08-25 2万+
在web开发时有时需要验证用户真实IP,在Java开发中,使用request.getRemoteAddr() 得到的可能是request路经的代理(Proxy)或者负载平衡器(Load Balancer)的IP,而并非用户真实IP。一般地,Proxy或者Load Balanc
waf+Nginx+apache获取真实ip
weixing100200的专栏
01-08 2144
proxy_set_header X-Forwarded-For "$http_x_forwarded_for, $remote_addr"; #如上配置在原有请求头X-Forwarded-For字段的基础上增加了连接nginx服务器ip地址 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; #$proxy_add_x_forwarded_for已经实现了第二版的功能,直接使用该内置变量即可 ...
haproxy代理nextcloud容器日志显示真实ip地址
小人物也有大梦想
12-04 173
nextcloud配置获取真实ip地址
Apache 反向代理,Laravel获取用户真实IP
星辰大海
06-12 1950
文章目录Apache (测试能够使用)1. 激活加载remoteip模块2. 定义代理与服务3. 配置Apache日志格式以使用X-Forwarded-For4. 结论5. 参考链接Nginx (未测试) 好多项目用到 前后端分离 结构,那这个时候就会涉及到反向代理的问题,OK ,那么在实际应用中,laravel 是如何获取用户真实IP 地址呢? 下面就跟我一块来了解一下吧!!! Ap...
Waf 基本功能
热门推荐
何进的博客
02-24 1万+
一、    Web防护 1.1   网络层防护 1)DDOS攻击 2)Syn Flood 3)Ack Flood 4)Http/HttpS Flood(CC攻击) 5)慢速攻击 1.2   应用层防护和功能 1)URL黑白名单 2)HTTP协议规范(包括特殊字符过滤、请求方式、内容传输方式,例如:multipart/form-data,text/xml,application/x
k8s华为,阿里云waf防火墙获取访问用户真实ip
Lilk5的博客
06-20 286
服务部署在K8s上,K8s会将真实的客户端IP记录在X-Original-Forwarded-For字段中,并将WAF回源地址记录在X-Forwarded-For字段中。4.将业务程序获取客户端真实IP的字段修改为X-Original-Forwarded-For或者X-Forwarded-For,不区分大小写。华为云:kubectl -n kube-system edit cm cceaddon-nginx-ingress-controller。1.执行以下命令修改配置文件。
网站服务器真实ip地址,网站服务器如何获取访问者真实IP地址
weixin_31140599的博客
08-01 1143
Nginx配置方案1. 确认已安装http_realip_module模块为实现负载均衡,Nginx使用http_realip_module模块来获取真实IP。您可以通过执行# nginx -V | grep http_realip_module命令查看是否已安装该模块。如未安装,则需要重新编译Nginx服务并加装该模块。说明一般情况下,如果通过一键安装包安装Nginx服务器,默认不安装该模块。...
nginx代理web,后端无法获取用户真实IP解决方法)
JuncaiLiao的专栏
02-22 1326
部署nginx后,后端用Request.UserHostAddress获取到的总是nginx服务器ip,而不是用户真实IP 解决方法: nginx: location / { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_hea...
CDN下nginx获取用户真实IP地址
weixin_34246551的博客
06-12 784
为什么80%的码农都做不了架构师?>>> ...
阿里云盾网站安全防御(WAF)的使用方法(图文)
01-10
所以,我在本文就简单的分享一下阿里云盾-WAF网站防御的正确使用方法。 一、域名解析 大部分朋友,只是开启了云盾就不管了,这也就是很多朋友受到CC攻击后,云盾却毫无反应的原因了。实际上WAF防御必须配合域名解析...
天融信WAF安装和用户手册
03-16
天融信官方WEB防护系统的用户手册和安装手册
XXXX-WAF网站保护系统解决方案.doc
04-29
XXXX-WAF网站保护系统解决方案.doc
天清WAG图形管理界面用户手册_WAF7080.pdf
07-24
天清WAG图形管理界面用户手册_WAF7080
XXXX WAF网站保护系统解决方案.pdf
11-02
。。。
Kubernets Apiserver IP 段变更后的故障处理
MichaelJScofield的专栏
07-03 656
IP 段后,要及时生成新的 apiserver 的 Service ClusterIP 到证书 SANs 里。然后再重建。最后我把 kubernetes-services-endpoint configmap 的 IP 改为正确的 Service cluster IP 并重建了 calico-node。
Linux 网络抓包工具tcpdump编译
jingling122的博客
07-03 830
编译tcpdump时可能会遇到多种错误,但大多数错误都可以通过安装缺失的库和头文件、设置正确的编译参数或更新系统工具链来解决。仔细阅读错误输出,查找线索,并在必要时搜索在线资源以获取帮助。
板凳---------unix网络编程卷1:第四章 基本 TCP 套接字编程
最新发布
fengye207161的博客
07-06 615
本章中只考虑使用fork实施的每客户单进程模型服务器首先启动,稍后某个时刻客户启动,它试图连接到服务器。我们假设客户给服务器发送一个请求,服务器处理该请求,并且给客户发回一个响应。这个过程一直持续下去,直到客户关闭连接的客户端,从而给服务器发送一个EOF(文件结束)通知为止。服务器接着也关闭连接的服务器端,然后结束运行或者等待新的客户连接。
LinuxTCP协议【下三】{面向字节流/粘包问题/TCP异常情况/文件和Socket}
A progressive ape!
07-03 1054
LinuxTCP协议【下三】{面向字节流/粘包问题/TCP异常情况/文件和Socket}
在console中如何对WAF的名称、各接口IP地址进行配置
03-04
您可以使用以下命令在控制台中配置WAF的名称和接口IP地址: 1. 配置WAF名称:set system name <WAF名称> 2. 配置接口IP地址:set interface <接口名称> ip address <IP地址/子网掩码> 请注意,接口名称和IP地址应根据您的网络环境进行相应的更改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值