原文:http://blog.csdn.net/aquester/article/details/48657395

1. 编译

对于client -> nginx reverse proxy -> apache,

要想在程序中取得真实的IP,在执行nginx的configure时,必须指定参数“--with-http_realip_module”,示例:

./configure --prefix=/data/nginx --with-http_realip_module --with-stream --with-pcre=/tmp/X/pcre-8.32 --with-openssl=/tmp/X/openssl-1.0.2a

参数说明:

--prefix= 指定安装目录,也就是make install后程序文件等的存放目录

--with-http_realip_module 使得程序可以通过环境变量HTTP_X_REAL_IP取得真实的客户端IP地址

--with-stream 表示启用TCP代理

--with-pcre= 指定依赖的pcre,注意为pcre源代码解压后的目录路径,而不是安装路径

--with-openssl= 指定依赖的openssl,注意为openssl源代码解压后的目录路径,而不是安装路径

另外,最简单的确认方法是使用nm命令查看nginx程序文件,看看是否有包含real相关的符号,对于版本nginx-1.9.4 ,可以发现存在“0809c54b t ngx_http_realip”。

2. 程序代码

测试程序代码(后续测试基于它):

// g++ -g -o hello.cgi hello.cpp

#include <stdio.h>

#include <stdlib.h>

int main()

{

printf("Content-Type: text/html; charset=utf-8\r\n\r\n");

printf("<p>HTTP_X_FORWARDED_FOR: %s\n", getenv("HTTP_X_FORWARDED_FOR"));

printf("<p>HTTP_X_REAL_IP: %s\n", getenv("HTTP_X_REAL_IP"));

printf("<p>REMOTE_ADDR: %s\n", getenv("REMOTE_ADDR"));

printf("<p>");

return 0;

}

测试是在nginx自带配置文件nginx.conf上进行的修改:

proxy_set_header可以添加在nginx.conf的http段,也可以是server段,还可以是location段,一级一级间是继承和覆盖关系。

3. 相关配置

示例:

location / {

#    root   html;

#    index  index.html index.htm;

proxy_pass http://20.61.28.11:80;

proxy_redirect off;

proxy_set_header   Host    $host;

proxy_set_header   X-Real-IP   $remote_addr;  # 这个是必须的

proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;

}

X-Forwarded-For和X-Real-IP的区别是,如果请求时已带了X-Forwarded-For,则nginx追加方式,这样可以通过它显示转发的轨迹。

当然请求时完全可以构造假的X-Forwarded-For,在配置文件打开了X-Real-IP及编译指定了--with-http_realip_module时,环境变量HTTP_X_REAL_IP总是为真实的客户端IP。

如果是:

client -> nginx reverse proxy (A) -> nginx reverse proxy (B) -> apache

HTTP_X_REAL_IP又会是什么了?

4. 测试1

假设如下部署:

client(10.6.81.39) -> nginx(10.6.223.44:8080) -> nginx(10.6.208.101:8080) -> apache(10.6.208.101:80)

Ø A

假设nginx(10.6.223.44:8080)的配置均为(在nginx默认配置上的修改部分):

server {

listen       8080;

server_name  10.6.223.44;

location / {

#    root   html;

#    index  index.html index.htm;

proxy_pass http://10.6.208.101:8080;

proxy_redirect off;

proxy_set_header   Host    $host;

proxy_set_header   X-Real-IP   $remote_addr;

proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;

}

假设nginx(10.6.208.101:8080)的配置均为(在nginx默认配置上的修改部分):

server {

listen       8080;

server_name  10.6.208.101;

location / {

#    root   html;

#    index  index.html index.htm;

proxy_pass http://10.6.208.101:80;

proxy_redirect off;

proxy_set_header   Host    $host;

proxy_set_header   X-Real-IP   $remote_addr;

proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;

}

上述测试程序输出的结果为:

<p>HTTP_X_FORWARDED_FOR: 10.6.81.39, 10.6.223.44

<p>HTTP_X_REAL_IP: 10.6.223.44

<p>REMOTE_ADDR: 10.6.81.39

Ø B

但如果client在HTTP请求头中加入:

X-FORWARDED-FOR:8.8.8.7

CLIENT-IP:8.8.8.8

X-REAL-IP:8.8.8.10

后输出结果变成:

<p>HTTP_X_FORWARDED_FOR: 8.8.8.7, 10.6.81.39, 10.6.223.44

<p>HTTP_X_REAL_IP: 10.6.223.44

<p>REMOTE_ADDR: 8.8.8.7

Ø C

基于A,如果只nginx(10.6.223.44:8080)配置注释掉“X-Forwarded-For”,输出结果变成:

<p>HTTP_X_FORWARDED_FOR: 10.6.223.44

<p>HTTP_X_REAL_IP: 10.6.223.44

<p>REMOTE_ADDR: 10.6.223.44

Ø D

基于A,如果只nginx(10.6.208.101:8080)配置注释掉“X-Forwarded-For”,输出结果变成:

<p>HTTP_X_FORWARDED_FOR: 10.6.81.39

<p>HTTP_X_REAL_IP: 10.6.223.44

<p>REMOTE_ADDR: 10.6.81.39

5. 测试2

基于测试1的配置,

当访问路径变成:client(10.6.81.39) -> nginx(10.6.208.101:8080) -> apache(10.6.208.101:80)时,程序输出结果为:

<p>HTTP_X_FORWARDED_FOR: 10.6.81.39

<p>HTTP_X_REAL_IP: 10.6.81.39

<p>REMOTE_ADDR: 10.6.81.39

但如果client在HTTP请求头中加入:

X-FORWARDED-FOR:8.8.8.7

CLIENT-IP:8.8.8.8

X-REAL-IP:8.8.8.10

后输出结果变成:

<p>HTTP_X_FORWARDED_FOR: 8.8.8.7, 10.6.81.39

<p>HTTP_X_REAL_IP: 10.6.81.39

<p>REMOTE_ADDR: 8.8.8.7

从上可以看出,只配置正确使用了real-ip功能,除HTTP_X_REAL_IP外,其它内容可以被干扰,client可以篡改它们。

6. 结论

如果正确编译和配置了nginx反向代理,当只有一层nginx反向代理时,可以通过“HTTP_X_REAL_IP”取得client的真实IP。

如果有二层nginx反向代理,则client的真实IP被包含在“HTTP_X_FORWARDED_FOR”中。

最不可信的是“REMOTE_ADDR”,它的内容完全可以被client指定!总之只要编译和配置正确,“HTTP_X_FORWARDED_FOR”总是包含了client的真实IP。

nginx做反向代理时获取真实IP的更多相关文章

  1. 如何取得nginx做反向代理时的真实IP?

    1. 编译 对于client -> nginx reverse proxy -> apache, 要想在程序中取得真实的IP,在执行nginx的configure时,必须指定参数" ...

  2. 【Nginx】使用Nginx做反向代理时,关于被代理服务器相应的超时设置

    > 参考的优秀文章 Module ngx_http_proxy_module > 设置等待被代理服务器的最大响应时间 使用Nginx做反向代理时,因被代理服务器因业务确实复杂,需时较久,往 ...

  3. nginx做反向代理时出现302错误

    现象:nginx在使用非80端口做反向代理时,浏览器访问发现返回302错误 详细现象如下: 浏览器请求登录页: 输入账号密码点击登录: 很明显登录后跳转的地址少了端口号. 原因:proxy.conf文 ...

  4. nginx做反向代理时出现302错误(转载)

    现象:nginx在使用非80端口做反向代理时,浏览器访问发现返回302错误 详细现象如下: 浏览器请求登录页: 输入账号密码点击登录: 很明显登录后跳转的地址少了端口号. 原因:proxy.conf文 ...

  5. nginx反向代理如何获取真实IP?

    由于客户端和web服务器之间增加了中间层,因此web服务器无法直接拿到客户端的ip,通过$remote_addr变量拿到的将是反向代理服务器的ip地址. 1.安装--with-http_realip_ ...

  6. Nginx反向代理 Laravel获取真实IP地址(PHP)

    使用VUE前后端分离开发 后端使用Laravel  想要获取到用户的真实IP地址 因为分离开发不同源跨域问题 所以只能进行前端Nginx反向代理 location /api { rewrite ^/a ...

  7. nginx设置反向代理,获取真实客户端ip

    upstream这个模块提供一个简单方法来实现在轮询和客户端IP之间的后端服务器负荷平衡. upstream abc.com { server 127.0.0.1:8080; server 127.0 ...

  8. Nginx作为反向代理时传递客户端IP的设置方法

    因为nginx的优越性,现在越来越多的用户在生产环境中使用nginx作为前端,不管nginx在前端是做负载均衡还是只做简单的反向代理,都需要把日志转发到后端real server,以方便我们检查程序的 ...

  9. 多级反向代理java获取真实IP地址

    public static String getIpAddress(HttpServletRequest request){ String ip = request.getHeader("x ...

随机推荐

  1. 动态规划:状压DP

    状压DP可以用在NP问题的小规模求解中(不理解,感觉和可以搜索的题很类似) 如果状态是个网格,数据范围很小,基本锁定状压DP 例题是BZOJ1725 题意是这样的,给定一个黑白图,然后种田,要求田与田 ...

  2. 【BZOJ1996】【HNOI2010】合唱队 [区间DP]

    合唱队 Time Limit: 4 Sec  Memory Limit: 64 MB[Submit][Status][Discuss] Description Input Output Sample ...

  3. [BZOJ2946] [Poi2000]公共串解题报告|后缀数组

    给出几个由小写字母构成的单词,求它们最长的公共子串的长度. 单词个数<=5,每个单词长度<=2000     尽管最近在学的是SAM...但是看到这个题还是忍不住想写SA... (其实是不 ...

  4. vueJS 一天上手到精通

    近来用vuejs, vuejs和angular的不同在于它直接暴露了一个构造函数,而后在里面写各种config, 和模板再相对,而且vuejs也有对应的模板双向绑定机制,这样就使开发非常简单容易,虽然 ...

  5. Django【进阶】FBV 和 CBV

    django中请求处理方式有2种:FBV 和 CBV 一.FBV FBV(function base views) 就是在视图里使用函数处理请求. 看代码: urls.py 1 2 3 4 5 6 7 ...

  6. cygwin与vim配置

    参考 http://www.jeepshoe.org/810958442.htm cygwin安装包管理器 通过终端安装apt-cyg之前选要安装以下软件包wget tar gawk bzip2 ap ...

  7. python基础===map和zip的用法

    >>> list1=[1,45,232,45,666,64] >>> list2=["ss","kein","to ...

  8. (五)对linux内核中jiffies+Hz表示一秒钟的理解

    jiffies在内核中是一个全局变量,它用来统计系统启动以来系统中产生的总节拍数,这个变量定义在include/Linux/jiffies.h中,定义形式如下. unsigned long volat ...

  9. /usr/bin/expect介绍

    /usr/bin/expect介绍 http://blog.csdn.net/zhu_tianwei/article/details/44180637 概述 我们通过Shell可以实现简单的控制流功能 ...

  10. Oracle rman 全备份的一个小例子

    run{  allocate channel d1 type disk;  backup database format='/u01/backup/%T_%d_%s.bak';  sql 'alter ...