美文网首页
nginx多重代理,java获取真实ip(防止伪造X-Forwa

nginx多重代理,java获取真实ip(防止伪造X-Forwa

作者: 乘以零 | 来源:发表于2022-05-10 15:59 被阅读0次

    请求路径 10.6.30.114(nginx)--> 10.6.30.135(nginx) --> 10.6.30.135(java)

    nginx log配置

    log_format main '$remote_addr | $http_x_forwarded_for | $http_x_real_ip
    

    java 代码

        public Object initData(HttpServletRequest request) {
            Map<String, Object> ret = new HashMap<>();
            ret.put("remoteAddr", request.getRemoteAddr());
            Enumeration<String> headerNames = request.getHeaderNames();
            while (headerNames.hasMoreElements()) {
                String headerName = headerNames.nextElement();
                ret.put(headerName, request.getHeader(headerName));
            }
            return ret;
        }
    

    注意 1

    说明一点,niginx日志里面打印出来的
    $remote_addr $http_x_forwarded_for $http_x_real_ip
    并不和java代码里面获取到的一样,nginx拿到请求后,先打印日志,后设置header,然后转发到下一层(nginx或java)
    

    配置1

    最外层nginx (10.6.30.114)
    location / {
        access_log /home/yiwu/nginxlogs/test.log main;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $remote_addr;
        # 这里这么配置,是防止请求者伪造X-Forwarded-For
        # 这种配置,请求到达114之前的所有代理ip都将舍弃,只保留最后一个ip
        # 如果配置成  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # 则会把请求者伪造的X-Forwarded-For一同带到接下来的请求
        proxy_pass http://10.6.30.135:80;  #135的nginx
    }
    
    发送一个请求给114 nginx, 加上header X-Forwarded-For 999.999.999.999
    
    114 nginx日志打印出来的结果为
    60.191.246.17 | 999.999.999.999 | -
    对应nginx日志
    $remote_addr  =  60.191.246.17  
    #我本机真实的ip
    
    $http_x_forwarded_for = 999.999.999.999  
    # 我header伪造的ip 这个伪造的header 还是会打印在最外层的nginx日志上
    
    $http_x_real_ip = -  
    #没有值,因为这个时候,还没有设置header x-real-ip进去 跟注意1我说的一致
    
    中间层nginx配置 (10.6.30.135)
    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # 这里不是最外层的nginx,header不会伪造,可以直接使用$proxy_add_x_forwarded_for
    
        proxy_pass http://10.6.30.135:8078; # 真实的java工程
    }
    
    
    135 nginx日志打印出来的结果
    10.6.30.114 | 60.191.246.17 | 60.191.246.17
    $remote_addr  10.6.30.114  # 为上一层nginx的地址
    $http_x_forwarded_for 60.191.246.17 #真实ip+代理ip
    $http_x_real_ip   60.191.246.17 # 114nginx设置 X-Real-IP $remote_addr;
    
    
    java 
    {
        "x-real-ip": "10.6.30.114",  # 对应135 nginx上设置的 X-Real-IP $remote_addr;
        "x-forwarded-for": "60.191.246.17, 10.6.30.114",   # 代理的链路
        "remoteAddr": "10.6.30.135", # 对应直接访问java工程的135 nginx ip
    }
    
    这时候java工程取客户端的真实ip 就用x-forwarded-for 第一个值
    

    配置2

    最外层nginx (10.6.30.114)
    #proxy_set_header X-Forwarded-For $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    #这里怎么配置都无所谓了,因为我们最终java代码中不用x-forwarded-for获取真实的ip
    #我们配置2就用 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    # 模拟下伪造 X-Forwarded-For的情况
    #这个配置 同时伪造header请求 其他一样
    114nginx日志
    60.191.246.17|999.999.999.999|-
    
    
    中间层nginx配置 (10.6.30.135)
    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $http_x_real_ip;
        # 这里的remote_addr 改成 http_x_real_ip
    
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://10.6.30.135:8078; # 真实的java工程
    }
    135nginx日志
    10.6.30.114|999.999.999.999, 60.191.246.17|60.191.246.17
    中间的  999.999.999.999, 60.191.246.17 就是吧我伪造的header也带进来了
    
    java
    {
        "x-real-ip": "60.191.246.17",
        "x-forwarded-for": "999.999.999.999, 60.191.246.17, 10.6.30.114",
        "remoteAddr": "10.6.30.135",
    }
    这时候 java就不能用 x-forwarded-for 来获取真实ip了 因为第一个是伪造的ip
    得用x-real-ip来获取
    

    配置3

    采用 set_real_ip_from
    114 nginx配置跟配置2一样 打印出的结果也一样
    
    135 nginx配置
    http下面配置
    set_real_ip_from  10.6.30.114/24; #代表上一层的nginx ip,可以用网段的方式
    real_ip_header    X-Forwarded-For;
    
    localtion下面配置
    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        # 这里就不能用http_x_real_ip,不然不好区分具体是哪个起作用了
    
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://10.6.30.135:8078; # 真实的java工程
    }
    135 nginx日志
    60.191.246.17|999.999.999.999, 60.191.246.17|60.191.246.17
    
    java
    {
        "x-real-ip": "60.191.246.17",
        "x-forwarded-for": "999.999.999.999, 60.191.246.17, 60.191.246.17",
        "remoteAddr": "10.6.30.135",
    }
    用x-real-ip来获取
    

    推荐使用配置3,有效预防伪造header

    配置2 配置1, 总之记住一点,多层nginx下,最外层nginx与中间层nginx的配置要不一样。最终如何在java代码中获取真实ip,随便采用哪种方式都可以

    相关文章

      网友评论

          本文标题:nginx多重代理,java获取真实ip(防止伪造X-Forwa

          本文链接:https://www.haomeiwen.com/subject/mqblurtx.html