图解 nginx 如何获取真实的来源 IP
2024-05-24 07:33:40
$remote_addr :这是 nginx 中的一个变量,是 理论上 请求来源的 IP 地址
$direct_ip :这是为例方便理解本文虚构的一个变量名,表示向 nginx 直接发起请求的客户端的真正 IP 地址
$direct_ip 是 无法伪造 的,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求。
一般来说 $remote_addr 就等于 $direct_ip ,我们通常也就是这样直接地判断请求来源。
但是,在多层反向代理的架构中,这个 $direct_ip 往往是一台内部服务器的 IP,不能真实的反应请求的来源,如下图:
为此,在 nginx 中的 $remote_addr 取值专门设计了特定的逻辑
有三个重要变量可在 nginx 中配置:
set_real_ip_from :默认为空,可设置为任意 IP 或 IP 段,实例中的 0.0.0.0/0 表示覆盖了所有网段
real_ip_header :默认值是 X-Real-IP,可以设置为任意字符串,一般建议改用 X-Forwarded-For,下面也均以 X-Forwarded-For 为例
real_ip_recursive :默认为 off,可设 on / off 两种值
网上介绍 $remote_addr 取值逻辑的文章有很多,此文不做赘述。
我们今天就单用一张图来解释下这个流程(点击图片查看大图):
服务端 nginx 配置:
上一级代理发来请求:
理论上真实来源 IP:
$remote_addr = 2.2.2.2
在多层反向代理的架构中,每一个 nginx 节点最好都添加上如下配置条目:
https://blog.csdn.net/qq_33101675/article/details/79013248 (红字部分解释得好)
https://www.jianshu.com/p/15f3498a7fad
热门标签
