在使用 Nginx 作為反向代理或負(fù)載均衡器時，我們常常需要獲取客戶端的真實 IP 地址。然而，默認(rèn)情況下，Nginx 的 $remote_addr 變量記錄的 IP 地址可能是上游代理或負(fù)載均衡器的 IP，而非實際客戶端的 IP。為了確保我們能夠正確獲取和記錄客戶端的真實 IP，本文將介紹如何配置 Nginx，并進行調(diào)試。

一、配置 Nginx 獲取客戶端真實 IP

1、基本配置說明

首先，我們需要確保 Nginx 能夠正確解析來自上游代理或負(fù)載均衡器的 X-Forwarded-For 頭部信息。通過配置 real_ip_header 和 set_real_ip_from，Nginx 可以將 $remote_addr 更新為客戶端的真實 IP。

示例配置：

http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;

    # 設(shè)置真實 IP 的頭部信息
    real_ip_header X-Forwarded-For;

    # 指定可信任的上游代理 IP 范圍，這里以 172.0.0.0/8 為例(就是你負(fù)載均衡的ip網(wǎng)段)
    set_real_ip_from 172.0.0.0/8;

    # 其他配置
    ...
}

• real_ip_header X-Forwarded-For;：指定從哪個頭部獲取客戶端的真實 IP 地址。常見的頭部包括 X-Forwarded-For、X-Real-IP 等。
• set_real_ip_from 172.0.0.0/8;：指定哪些 IP 地址段的請求可以被信任。如果請求來自這些地址段，那么 Nginx 會根據(jù) real_ip_header 的配置更新 $remote_addr。

在 Nginx 中，set_real_ip_from 指令用于定義哪些 IP 地址或 IP 地址段是被信任的。根據(jù)請求來源 IP 地址是否在 set_real_ip_from 指定的范圍內(nèi)，Nginx 的行為會有所不同，具體區(qū)別如下：

2、set_real_ip_from詳解

1. 請求來源 IP 在 set_real_ip_from 范圍內(nèi)

如果請求來源的 IP 地址在 set_real_ip_from 指定的范圍內(nèi)，Nginx 會信任該請求，并使用 real_ip_header 指定的頭部（如 X-Forwarded-For）中的值作為客戶端的真實 IP 地址。

行為:

• Nginx 使用 X-Forwarded-For 頭中的第一個（最左邊的）IP 地址作為 $remote_addr（即客戶端的真實 IP 地址）。
• 這種情況通常出現(xiàn)在負(fù)載均衡器或反向代理服務(wù)器前端，它們會添加 X-Forwarded-For 頭來指示真實的客戶端 IP。

2. 請求來源 IP 不在 set_real_ip_from 范圍內(nèi)

如果請求來源的 IP 地址不在 set_real_ip_from 指定的范圍內(nèi)，Nginx 不會信任這個請求中的 X-Forwarded-For 頭部中的 IP 地址。

行為:

• Nginx 直接使用請求來源的 IP 地址（即 $remote_addr）作為客戶端的 IP 地址。
• 這意味著 Nginx 會將負(fù)載均衡器或代理服務(wù)器的 IP 地址視為客戶端的 IP，而不會考慮 X-Forwarded-For 頭中的值。

場景分析：

• 在范圍內(nèi)： 如果你有一個負(fù)載均衡器，所有請求都會先經(jīng)過它再到達 Nginx。負(fù)載均衡器會在請求頭中加入 X-Forwarded-For 以記錄客戶端的真實 IP。如果你將負(fù)載均衡器的 IP 地址配置在 set_real_ip_from 中，Nginx 會讀取并信任 X-Forwarded-For 中的客戶端真實 IP。

• 不在范圍內(nèi)： 如果請求不是通過你信任的負(fù)載均衡器發(fā)來的（可能是直接訪問 Nginx，或者來自不可信的代理服務(wù)器），Nginx 會認(rèn)為這個請求中的 X-Forwarded-For 不可信，于是使用實際請求來源 IP（負(fù)載均衡器或代理的 IP 地址）作為客戶端 IP。

3、log_format 配置（參考）

配置日志格式時，可以直接使用 $remote_addr 變量。Nginx 在解析 real_ip_header 后，會自動將 $remote_addr 替換為解析后的真實 IP 地址。

日志格式配置：

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                '$status $body_bytes_sent "$http_referer" '
                '"$http_user_agent" "$http_x_forwarded_for"';

• $remote_addr：在配置了 real_ip_header 之后，這個變量將代表客戶端的真實 IP 地址。

二、調(diào)試與測試

為了確保配置正確，我們可以使用一個簡單的調(diào)試日志來測試 X-Forwarded-For 頭部的內(nèi)容。

添加調(diào)試日志

可以通過下面的配置，將 X-Forwarded-For 頭部記錄到一個專門的調(diào)試日志文件中。

調(diào)試日志配置：

log_format debug '$http_x_forwarded_for';
access_log /path/to/log/debug.log debug;

通過這一配置，你可以在調(diào)試過程中直接查看 X-Forwarded-For 頭部的內(nèi)容，以確認(rèn)它是否包含客戶端的真實 IP 地址。

檢查調(diào)試日志

配置完成后，重啟 Nginx，并通過訪問應(yīng)用生成一些日志。然后，查看調(diào)試日志 /path/to/log/debug.log 以驗證 X-Forwarded-For 頭部的值。

tail -f /path/to/log/debug.log

如果 X-Forwarded-For 頭部中包含了客戶端的真實 IP 地址，那么說明配置正確，Nginx 能夠正確獲取并記錄客戶端的真實 IP。

三、Lua 中使用客戶端真實 IP（參考）

在實際應(yīng)用中，如果你使用了 OpenResty 或 Nginx 的 Lua 模塊，可以在 Lua 代碼中使用 ngx.var.remote_addr 來獲取解析后的真實 IP。

示例代碼：

access_by_lua "
local uid = ngx.var.cookie_bb_id
if not uid then
    uid = ngx.md5(ngx.now() .. ngx.var.remote_addr .. ngx.var.http_user_agent)
    ngx.header['Set-Cookie'] = 'bb_id=' .. uid .. '; path=/; Expires=' .. ngx.cookie_time(ngx.time() + 3650*86400) .. '; Secure; SameSite=None'
end
";

在上面的 Lua 代碼中，ngx.var.remote_addr 會獲取到解析后的客戶端真實 IP。這在用戶跟蹤或日志記錄中非常有用。

四、總結(jié)

通過正確配置 real_ip_header 和 set_real_ip_from，我們可以確保 Nginx 能夠通過 $remote_addr 獲取并記錄客戶端的真實 IP 地址。在配置完成后，通過調(diào)試日志可以驗證配置是否生效。如果你在 Lua 中需要獲取真實 IP，可以直接使用 ngx.var.remote_addr。

到此這篇關(guān)于Nginx獲取客戶端真實IP(real_ip_header)的實現(xiàn)的文章就介紹到這了,更多相關(guān)Nginx獲取客戶端真實IP內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論