几个概念
$remote_addr:这是 nginx 中的一个变量,是理论上请求来源的 IP 地址
$direct_ip:这是为例方便理解本文虚构的一个变量名,表示向 nginx 直接发起请求的客户端的真正 IP 地址
$direct_ip 是无法伪造的,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求。
一般来说 $remote_addr 就等于 $direct_ip,我们通常也就是这样直接地判断请求来源。
但是,在多层反向代理的架构中,这个 $direct_ip 往往是一台内部服务器的 IP,不能真实的反应请求的来源,如下图:
对于 nginx3 来说,我们期望它能得知请求的真实来源是 47.10.20.100,而不是 120.2.2.2
为此,在 nginx 中的 $remote_addr 取值专门设计了特定的逻辑
有三个重要变量可在 nginx 中配置:
set_real_ip_from 0.0.0.0/0;
real_ip_header X-Forwarded-For;
real_ip_recursive on;
set_real_ip_from:默认为空,可设置为任意 IP 或 IP 段,实例中的 0.0.0.0/0 表示覆盖了所有网段
real_ip_header:默认值是 X-Real-IP,可以设置为任意字符串,一般建议改用 X-Forwarded-For,下面也均以 X-Forwarded-For 为例
real_ip_recursive:默认为 off,可设 on / off 两种值
获取真实的客户 IP
网上介绍 $remote_addr 取值逻辑的文章有很多,此文不做赘述。
我们今天就单用一张图来解释下这个流程(点击图片查看大图):
由此 $remote_addr 的值即为最真实合理的来源 IP
示例
服务端 nginx 配置:
location / {
set_real_ip_from 4.4.0.0/16;
set_real_ip_from 3.3.3.3; # 可以配置多条 set_real_ip_from,覆盖范围会叠加
real_ip_header X-Forwarded-For;
real_ip_recursive on;
}
上一级代理发来请求:
DirectIP: 4.4.5.5 # 代理节点的 IP
X-Forwarded-For: 1.1.1.1,2.2.2.2,3.3.3.3,4.4.4.4
理论上真实来源 IP:
$remote_addr = 2.2.2.2
总结
在多层反向代理的架构中,每一个 nginx 节点最好都添加上如下配置条目:
location / {
proxy_pass http://xx.xx.xx.xx/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
set_real_ip_from 10.2.0.0/16; # 所有授信任的内部节点IP网段
real_ip_header X-Forwarded-For;
real_ip_recursive on;
}
参考资料
https://blog.csdn.net/qq_33101675/article/details/79013248 (红字部分解释得好)
https://www.jianshu.com/p/15f3498a7fad
网友评论