nginx設定反向代理怎麼獲取客戶端的真實IP和域名以供日誌分析

天府雲創發表於2018-04-23
Nginx客戶端

nginx反向代理後,在應用中取得的ip都是反向代理伺服器的ip,取得的域名也是反向代理配置的url的域名,解決該問題,需要在nginx反向代理配置中新增一些配置資訊,目的將客戶端的真實ip和域名傳遞到應用程式中。

 

nginx反向代理配置時,一般會新增下面的配置:

      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header REMOTE-HOST $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

其中第一行關於host的配置,是關於域名傳遞的配置,餘下跟IP相關。


話不多說直接貼出Nginx例項程式碼:

upstream這個模組提供一個簡單方法來實現在輪詢和客戶端IP之間的後端伺服器負荷平衡。
upstream abc.com {
        server 127.0.0.1:8080;
        server 127.0.0.1:80;
        server 127.0.0.1:8000;
}

server {
        listen 80;
        server_name www.test.com;
        location / {
                proxy_pass http://abc.com;
                proxy_set_header    Host             $host;#保留代理之前的host
                proxy_set_header    X-Real-IP        $remote_addr;#保留代理之前的真實客戶端ip
                proxy_set_header    X-Forwarded-For  $proxy_add_x_forwarded_for;
                proxy_set_header    HTTP_X_FORWARDED_FOR $remote_addr;#在多級代理的情況下,記錄每次代理之前的客戶端真實ip
                proxy_set_header X-Forwarded-Proto $scheme; #表示客戶端真實的協議(http還是https)
                proxy_redirect      default;#指定修改被代理伺服器返回的響應頭中的location頭域跟refresh頭域數值
        }

php中取得客戶端真實IP

  1. /** 
  2.  * 獲取客戶端ip 
  3.  */   
  4.  function getClientIP() {  
  5.     $ip = "unknown";  
  6.     /* 
  7.      * 訪問時用localhost訪問的,讀出來的是“::1”是正常情況。 
  8.      * ::1說明開啟了ipv6支援,這是ipv6下的本地迴環地址的表示。 
  9.      * 使用ip地址訪問或者關閉ipv6支援都可以不顯示這個。 
  10.      * */  
  11.     if (isset($_SERVER)) {  
  12.         if (isset($_SERVER["HTTP_X_FORWARDED_FOR"])) {  
  13.             $ip = $_SERVER["HTTP_X_FORWARDED_FOR"];  
  14.         } elseif (isset($_SERVER["HTTP_CLIENT_ip"])) {  
  15.             $ip = $_SERVER["HTTP_CLIENT_ip"];  
  16.         } else {  
  17.             $ip = $_SERVER["REMOTE_ADDR"];  
  18.         }  
  19.     } else {  
  20.         if (getenv('HTTP_X_FORWARDED_FOR')) {  
  21.             $ip = getenv('HTTP_X_FORWARDED_FOR');  
  22.         } elseif (getenv('HTTP_CLIENT_ip')) {  
  23.             $ip = getenv('HTTP_CLIENT_ip');  
  24.         } else {  
  25.             $ip = getenv('REMOTE_ADDR');  
  26.         }  
  27.     }  
  28.     if(trim($ip)=="::1"){  
  29.         $ip="127.0.0.1";  
  30.     }  
  31.     return $ip;   
  32. }  

 

java取得客戶端真實IP:

  1. public String getClientIP(HttpServletRequest request) {   
  2.     String ip = request.getHeader("x-forwarded-for");   
  3.     if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {   
  4.         ip = request.getHeader("Proxy-Client-IP");   
  5.     }   
  6.     if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {   
  7.         ip = request.getHeader("WL-Proxy-Client-IP");   
  8.   
  9.     }   
  10.     if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {   
  11.         ip = request.getRemoteAddr();   
  12.     }   
  13.     return ip;   
  14. }   

 

 

php取得域名:

Php程式碼  
  1. $_SERVER['SERVER_NAME'];  


java取得域名:

Java程式碼  
  1. request.getServerName()  

具體場景:

在請求到達後端服務之前,會經過層層代理的轉發。

(CDN反代之後的客戶真實ip的取得-使用正則進行匹配,如有問題,請及時指出。)

 

 

一般的解決方案:

           proxy_set_header            Host $host;

           proxy_set_header            X-real-ip $remote_addr;

           proxy_set_header            X-Forwarded-For $proxy_add_x_forwarded_for;

 

後端服務獲取客戶端真實IP的方法:
request.getAttribute("X-real-ip")

現象:

後端服務獲取到的IP並不是客戶端真實IP,而是某一級代理的IP。

 

分析:

從CDN開始,每經過一個代理做一次轉發,x_forwarded_for就會在後面追加一個代理IP。請求到達nginx時,x_forwarded_for已經變成一個以逗號分隔的ip串,並且以轉發順序排序。

nginx的內建變數remote_addr僅能代表nginx的上一層代理的IP,現有的nginx配置將該值賦給X_Real_Ip,那麼後端獲取到的X_Real_Ip也是nginx上一層代理的IP,而不是客戶端真實IP。

 

解決方案:

x_forwarded_for中的IP串,第一個IP即可代表客戶端真實IP,因此可在nginx上對x_forwarded_for做一個正則匹配,獲取第一個逗號之前的IP賦值給X-real-ip,從而達到不需要修改應用即可獲取客戶端真實IP的目的。

示例配置如下:

            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

            set $Real $http_x_forwarded_for;

            if ( $Real ~ (\d+)\.(\d+)\.(\d+)\.(\d+),(.*) ){

                set $Real $1.$2.$3.$4;

            }

            proxy_set_header X-Real-Ip $Real;


相關文章