zoukankan      html  css  js  c++  java
  • 服务器架构前面加了防火墙,Nginx如何获取客户端真实ip???

    在大部分实际业务场景中,网站访问请求并不是简单地从用户(访问者)的浏览器直达网站的源站服务器,中间可能经过所部署的CDN、高防IP、WAF等代理服务器。例如,网站可能采用这样的部署架构:用户 > CDN/高防IP/WAF > 源站服务器。这种情况下,访问请求在经过多层加速或代理转发后,源站服务器该如何获取发起请求的真实客户端IP?

    一般情况下,透明的代理服务器在将用户的访问请求转发到下一环节的服务器时,会在HTTP的请求头中添加一条X-Forwarded-For记录,用于记录用户的真实IP,其记录格式为X-Forwarded-For:用户IP。如果期间经历多个代理服务器,则X-Forwarded-For将以该格式记录用户真实IP和所经过的代理服务器IP:X-Forwarded-For:用户IP, 代理服务器1-IP, 代理服务器2-IP, 代理服务器3-IP, ……。

    因此,常见的Web应用服务器可以使用X-Forwarded-For的方式获取访问者真实IP。

    Nginx配置方案

    • 1、确认nginx安装时已经安装http_realip_module模块

    为实现负载均衡,Nginx使用http_realip_module模块来获取真实IP。# nginx -V | grep http_realip_module命令查看是否已安装该模块。如未安装,则需要重新编译Nginx服务并加装该模块。方法如下:

    wget http://nginx.org/download/nginx-1.14.2.tar.gz
    tar zxvf nginx-1.14.2.tar.gz
    cd nginx-1.14.2
    ./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --without-http-cache --with-http_ssl_module --with-http_realip_module
    make
    make install
    kill -USR2 `cat /usr/local/nginx/logs/nginx.pid`
    kill -QUIT `cat /usr/local/nginx/logs/ nginx.pid.oldbin`
    
    • 2、修改Nginx对应server的配置

    打开www.conf配置文件,在location / {} 中加入以下内容:

    set_real_ip_from ip_range1;    #真实服务器上一级代理的IP地址或者IP段,可以写多行
    set_real_ip_from ip_range2;
    ...
    set_real_ip_from ip_rangex;
    real_ip_header    X-Forwarded-For;    #从哪个header头检索出需要的IP地址
    real_ip_recursive on;    #递归排除set_real_ip_from里面出现的IP,其余没有出现的认为是用户真实IP
    

    说明: 其中,ip_range1,2,...,x 指WAF的回源IP地址,需要分多条分别添加。

    如何获取WAF的回源IP地址???

    打开WAF界面-->设置-->产品信息-->即可查看到回源IP段,将这里的IP段按照上面的方式写进nginx配置当中即可,查看nginx访问日志就是客户端真实ip了。不过要说的是阿里的回源IP段真多,用notepad++处理好配置再写上去更方便!

    • 3、修改日志记录格式

    log_format一般在nginx.conf配置文件中的http配置部分。在log_format中,添加x-forwarded-for字段,替换原来remote-address字段,即将log_format修改为以下内容:

    log_format  main  '$http_x_forwarded_for - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" ';
    
  • 相关阅读:
    Flash 全局安全性设置面板
    响应式布局的一个例子mark
    移动平台WEB前端开发技巧汇总
    自定义事件机制——观察者模式
    学习之响应式Web设计:Media Queries和Viewports
    常用栅格布局方案
    观察者模式的一个例子
    二进制文件转换为文本工具
    C#面向对象名词比较(二)
    MSN消息提示类
  • 原文地址:https://www.cnblogs.com/linuxk/p/12033796.html
Copyright © 2011-2022 走看看