Bootstrap

Nginx获取真实客户端ip(real_ip_header)

概念学习

$remote_addr
是nginx与客户端进行TCP连接过程中,获得的客户端真实地址. Remote Address 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求

X-Real-IP

是一个自定义头。X-Real-Ip 通常被 HTTP 代理用来表示与它产生 TCP 连接的设备 IP,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,X-Real-Ip 目前并不属于任何标准,代理和 Web 应用之间可以约定用任何自定义头来传递这个信息

X-Forwarded-For
X-Forwarded-For 是一个扩展头。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP,现在已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中.

X-Forwarded-For请求头格式非常简单,就这样:

  X-Forwarded-For:client, proxy1, proxy2

可以看到,XFF 的内容由「英文逗号 + 空格」隔开的多个部分组成,最开始的是离服务端最远的设备 IP,然后是每一级代理设备的 IP。

如果一个 HTTP 请求到达服务器之前,经过了三个代理 Proxy1、Proxy2、Proxy3,IP 分别为 IP1、IP2、IP3,用户真实 IP 为 IP0,那么按照 XFF 标准,服务端最终会收到以下信息:

X-Forwarded-For: IP0, IP1, IP2

Proxy3 直连服务器,它会给 XFF 追加 IP2,表示它是在帮 Proxy2 转发请求。列表中并没有 IP3,IP3 可以在服务端通过 remote_address 来自 TCP 连接,表示与服务端建立 TCP 连接的设备 IP,在这个例子里就是 IP3。

详细分析一下,这样的结果是经过这样的流程而形成的:

  1. 用户IP0---> 代理Proxy1(IP1),Proxy1记录用户IP0,并将请求转发个Proxy2时,带上一个Http Header
    X-Forwarded-For: IP0 
  2. Proxy2收到请求后读取到请求有 X-Forwarded-For: IP0,然后proxy2 继续把链接上来的proxy1 ip追加到 X-Forwarded-For 上面,构造出X-Forwarded-For: IP0, IP1,继续转发请求给Proxy 3
  3. 同理,Proxy3 按照第二部构造出 X-Forwarded-For: IP0, IP1, IP2,转发给真正的服务器,比如NGINX,nginx收到了http请求,里面就是 X-Forwarded-For: IP0, IP1, IP2 这样的结果。所以Proxy 3 的IP3,不会出现在这里。
  4. nginx 获取proxy3的IP 能通过remote_address就是真正建立TCP链接的IP,这个不能伪造,是直接产生链接的IP。$remote_address 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求。
  1. 通过remote_addr获取真实客户端ip(客户端与服务端没有代理)

是nginx与客户端进行TCP连接过程中,获得的客户端真实地址. Remote Address 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求

remote_addr 是服务端根据请求TCP包的ip指定的。假设从client到server中间没有任何代理,那么web服务器(Nginx,Apache等)就会把client的IP设为remote_addr;如果存在代理转发HTTP请求,web服务器会把最后一次代理服务器的IP设置为remote_addr。

      2.Real_ip模块来获取

Module ngx_http_realip_module

这方面网上比较多,配置也相对简单,但是有一个非常关键的点,网上说的很少。

nginx 首先会从 TCP 连接层面拿到 IP 赋值给变量 $remote_addr,并认为该 IP 就是客户端真实 IP如果把从 TCP 连接拿到的 IP 通过 set_real_ip_from 指令配置为授信 IP,则 nginx 才会通过 realIp 模块的相关指令配置拿到 IP 赋值给变量 $remote_addr,并认为该IP是客户端真实的 IP;如果从 TCP 连接拿到的 IP set_real_ip_from 指令中没有配置,那remote_addr仍然为nginx从tcp连接中拿到的IP。---这太重要了,需要查看源码才能了解到。

1. real_ip_header配置指令

语  法:    

        real_ip_header field | X-Real-IP | X-Forwarded-For | proxy_protocol;默认值:    

        real_ip_header X-Real-IP;上下文:    

        http, server, location

本指令用来定义从哪个地方获取客户端的真实IP,以便让NGINX能够获取到,并将获取到的客户端真实IP替换代理服务器的IP。

  其中的选项包括 X-Real-IP 头, X-Forwarded-For 头,或者自定义HTTP 头都可以。另外,还支持通过proxy_protocol协议来获取客户端的真实IP,当然,要使用这个选项,首先需要在nginx上开启proxy_protocol的功能。

2. real_ip_recursive配置指令

语  法:    

        real_ip_recursive on | off;默认值:    

        real_ip_recursive off;上下文:    

        http, server, location

  本指令用来开启或者关闭通过HTTP相关头获取客户端真实IP的时候是否允许多级代理的情况。

  如果禁用递归搜索,与受信任地址之一匹配的原始客户端地址将被请求头字段中由 real_ip_header 指令定义的最后一个地址替换(翻译下就是real_ip_header中最右边的ip来赋值给remote_addr)。如果启用递归搜索,与受信任地址之一匹配的原始客户端地址将被请求头字段中最后一个非受信任地址替换(翻译下就是real_ip_header中从右往左开始去掉授信ip,也就是set_real_ip_from中定义的ip或者ip段,找到的第一个不在set_real_ip_from中定义的ip来赋值给remote_addr)

  通过开启递归选项,nginx可以处理客户端和nginx之间经历了多次代理的情况,nginx能够通过设置的 PROXY列表将所有的 PROXY IP剥离掉,而找到第一个不是PROXY的IP作为真实客户端IP。

3. set_real_ip_from配置指令

  定义一个或者多个受信任的PROXY服务器的地址,格式如下:

语  法:    

        set_real_ip_from address | CIDR | unix:;默认值:    

        —上下文:    

        http, server, location

 set_real_ip_from指令可以定义多次,定义的PROXY服务器地址可以用ip/mask的方式指定(即CIDR),也可以用域名的方式指定,还可以指定为”unix:“用来表示信任所有以unix socket形式建立的连接。

;