Nginx获取真实IP相关问题

Nginx获取真实IP相关问题

在真实生产环境中，最常用的使用nginx作为反向代理来暴露服务。不过在暴露到公网前，我们往往会在前面通过CDN或者云厂商的负载均衡器来暴露我们的服务。

在不通的协议(tcp/http)或场景下，通过X-Forwarded-For获取客户端真实ip的方式往往不同。

配置分析
默认情况下，nginx不会对X-Forwarded-For进行修改。也就是说如果没有额外配置的情况下，nginx前面的负载均衡器或者其他nginx传过来的X-Forwarded-For的值是什么样，nginx反代后还会以一样的值反代下去。

有时候nginx前面的负载均衡器没有传X-Forwarded-For，则需要通过proxy_set_header X-Forwarded-For来修改值。

$proxy_add_x_forwarded_for
$proxy_add_x_forwarded_for会保存X-Forwarded-For中已有的值，并且追加$remote_addr的值，使用逗号隔开。

如果之前X-Forwarded-For中没有值，则修改后X-Forwarded-For中只有$remote_addr的值。

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
$remote_addr
$remote_addr就是到达nginx前的上一层服务器的真实ip。如果nginx前面使用的是云厂商的负载均衡器，一般$remote_addr有可能就是云厂商负载均衡器实例的ip。为什么这里说有可能？负载均衡器根据监听的协议不同也会分两种情况：

如果是tcp协议，针对四层监听，并且默认开启了“获取客户端真实IP”。那么$remote_addr就是来访者的真实IP地址。
如果是http协议，针对七层监听，并且默认开启了“获取客户端真实IP”。那么负载均衡器一般会通过X-Forwarded-For头将客户端真实IP传递到后端服务器。那么这时候$remote_addr通常就是负载均衡器的实例IP。
proxy_set_header X-Forwarded-For $remote_addr; 
这种配置方式和$proxy_add_x_forwarded_for不一样，不会将$remote_addr的值追加在原来的值后面，而是直接覆盖原有的X-Forwarded-For的值。

$http_x_forwarded_for
nginx中还可以使用$http_x_forwarded_for获取nginx收到的X-Forwarded-For的值。不过一般用于在打印access日志时使用。

如果是上述所说的http协议，针对七层监听，且负载均衡器已经将客户端真实IP放在了X-Forwarded-For中传过来了。那么就不要去修改X-Forwarded-For头，nginx会将传来的值原封不动地再反代到后端服务器去。或者修改就使用$http_x_forwarded_for变量。





七层监听：
http_x_forwarded_for的作用
http_x_forwarded_for的主要作用是识别客户端的真实IP地址，解决在代理服务器中无法获取真实IP的问题。

如果没有nginxhttp_x_forwarded_for头部，后端服务器只能看到代理服务器的IP地址。这可能导致错误日志和安全问题。而添加了nginxhttp_x_forwarded_for头部，则允许后端服务器追踪请求的来源，获取真实IP地址。

http_x_forwarded_for的安全性问题
http_x_forwarded_for头部可以被伪造，这可能导致安全问题。攻击者可以通过篡改http_x_forwarded_for头部来伪造客户端的IP地址，从而进行攻击。

为了解决此问题，可以通过在Nginx配置文件中添加以下代码，限制http_x_forwarded_for的长度和内容。这样可以防止攻击者篡改http_x_forwarded_for头部，同时保护服务器的安全。
例：
nginx.conf


 log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';



让打印日志第一个参数获取到真实ip的配置
server
{


             #安全防篡改http_x_forwarded_for
              if ($http_x_forwarded_for ~ "^(.+,)?10\.")
              {
                return 403;
              }
              if ($http_x_forwarded_for ~ "^(.+,)?172\.([1][6-9]|[2]\d|[3][0-1])\.")
              {
                return 403;
              }
              if ($http_x_forwarded_for ~ "^(.+,)?192\.168\.")
              {
                return 403;
              }  
            location /ax
			{ 

              add_header X-Frame-Options SAMEORIGIN;
              add_header Set-Cookie "Path=/; HttpOnly; Secure";
				      set_real_ip_from 172.16.20.142;
	            set_real_ip_from 172.16.20.145;
	            real_ip_header X-Forwarded-For; 
	            real_ip_recursive on;# 开启递归处理	

                #可针对ip做白名单配置         
                #allow 183.66.230.150; #允许的IP地址 
                #deny all; #拒绝所有其他IP地址


                #一些后端会抓取这个值为配置，七层监听是根据x_forwarded_for传来的真实ip
                #而四层监听则可以直接用@remote_addr
                proxy_set_header X-Real-IP $http_x_forwarded_for;


			}
           
}