服务器架构前面加了防火墙,Nginx如何获取客户端真实ip???
在大部分实际业务场景中,网站访问请求并不是简单地从用户(访问者)的浏览器直达网站的源站服务器,中间可能经过所部署的CDN、高防IP、WAF等代理服务器。例如,网站可能采用这样的部署架构:用户 > CDN/高防IP/WAF > 源站服务器。这种情况下,访问请求在经过多层加速或代理转发后,源站服务器该如何获取发起请求的真实客户端IP?
一般情况下,透明的代理服务器在将用户的访问请求转发到下一环节的服务器时,会在HTTP的请求头中添加一条X-Forwarded-For记录,用于记录用户的真实IP,其记录格式为X-Forwarded-For:用户IP。如果期间经历多个代理服务器,则X-Forwarded-For将以该格式记录用户真实IP和所经过的代理服务器IP:X-Forwarded-For:用户IP, 代理服务器1-IP, 代理服务器2-IP, 代理服务器3-IP, ……。
因此,常见的Web应用服务器可以使用X-Forwarded-For的方式获取访问者真实IP。
Nginx配置方案
1、确认nginx安装时已经安装http_realip_module模块
为实现负载均衡,Nginx使用http_realip_module模块来获取真实IP。# nginx -V | grep http_realip_module
命令查看是否已安装该模块。如未安装,则需要重新编译Nginx服务并加装该模块。方法如下:
wget http://nginx.org/download/nginx-1.14.2.tar.gz tar zxvf nginx-1.14.2.tar.gz cd nginx-1.14.2 ./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --without-http-cache --with-http_ssl_module --with-http_realip_module make make install kill -USR2 `cat /usr/local/nginx/logs/nginx.pid` kill -QUIT `cat /usr/local/nginx/logs/ nginx.pid.oldbin`
2、修改Nginx对应server的配置
打开www.conf配置文件,在location / {} 中加入以下内容:
set_real_ip_from ip_range1; #真实服务器上一级代理的IP地址或者IP段,可以写多行 set_real_ip_from ip_range2; ... set_real_ip_from ip_rangex; real_ip_header X-Forwarded-For; #从哪个header头检索出需要的IP地址 real_ip_recursive on; #递归排除set_real_ip_from里面出现的IP,其余没有出现的认为是用户真实IP
说明: 其中,ip_range1,2,...,x 指WAF的回源IP地址,需要分多条分别添加。
如何获取WAF的回源IP地址???
打开WAF界面-->设置-->产品信息-->即可查看到回源IP段,将这里的IP段按照上面的方式写进nginx配置当中即可,查看nginx访问日志就是客户端真实ip了。不过要说的是阿里的回源IP段真多,用notepad++处理好配置再写上去更方便!
3、修改日志记录格式
log_format一般在nginx.conf配置文件中的http配置部分。在log_format中,添加x-forwarded-for字段,替换原来remote-address字段,即将log_format修改为以下内容:
log_format main '$http_x_forwarded_for - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" ';