nginx ip_hash获取真实源IP ngx_http_realip_module模块

原创 已于 2023-06-05 10:25:48 修改 · 767 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #ip_hash #realip #ngx_http_realip_module

于 2020-05-15 08:50:54 首次发布
本文详细介绍了Nginx的RealIP模块如何在反向代理环境中获取真实用户IP,避免记录反代服务器IP。通过具体配置示例,阐述了set_real_ip_from和real_ip_header指令的使用,以及real_ip_recursive指令在多级代理场景下的作用。

原文:http://leo108.com/pid-2132.asp

realip模块的作用是:当本机的nginx处于一个反向代理的后端时获取到真实的用户IP。

如果没有realip模块,nginx的access_log里记录的IP会是反向代理服务器的IP,PHP中$_SERVER['REMOTE_ADDR']的值也是反向代理的IP

而安装了realip模块,并且配置正确,就可以让nginx日志和php的REMOTE_ADDR都变成真实的用户IP。

举一个最简单的例子,网络架构如图:



 

如果不做任何配置,后端web服务器nginx日志里记录的IP将会是10.10.10.10,这个时候我们增加如下nginx配置:

set_real_ip_from  10.10.10.10;

real_ip_header    X-Forwarded-For;

set_real_ip_from指令是告诉nginx,10.10.10.10是我们的反代服务器(信任服务器,记住这个名词,下面会提到),不是真实的用户IP,real_ip_header则是告诉nginx真正的用户IP是存在X-Forwarded-For请求头中(对X-Forwarded-For不了解的同学请自行百度)。

重新加载nginx配置之后,就可以看到nginx日志里记录的IP就是123.123.123.123了,php里的REMOTE_ADDR也是123.123.123.123。

realip模块还提供了另外一个指令real_ip_recursive,可以用来处理更加复杂的情况,架构如图:



 

这个时候如果还用上面的配置,后端nginx的日志里显示的IP就变成了192.168.1.10了,这个时候就需要real_ip_recursive这个指令了。

set_real_ip_from  10.10.10.10;

set_real_ip_from  192.168.1.10;

real_ip_header    X-Forwarded-For;

real_ip_recursive on;

官网文档对于real_ip_recursive指令的解释十分拗口,看了老半天才明白

首先要明确一点,realip模块生效的前提是:直接连接nginx的ip是在set_real_ip_from中指定的。

当real_ip_recursive为off时,nginx会把real_ip_header指定的HTTP头中的最后一个IP当成真实IP

当real_ip_recursive为on时,nginx会把real_ip_header指定的HTTP头中的最后一个不是信任服务器的IP当成真实IP

在这个例子中,当请求到达后端web服务器时,X-Forwarded-For应该是123.123.123.123, 10.10.10.10。如果real_ip_recursive为off,nginx取X-Forwarded-For的最后一个IP也就是10.10.10.10作为真实IP。如果real_ip_recursive为on,由于10.10.10.10是信任服务器IP,所以nginx会继续往前查找,发现123.123.123.123不是信任服务器IP,就认为是真实IP了。

Module ngx_http_realip_module

http://nginx.org/en/docs/http/ngx_http_realip_module.html

nginx平滑升级添加模块

如果获取的源IP总变,有个时候是上级代理服务器的IP,有的时候是客户端真实IP,建议添加

real_ip_recursive on;

nginx模块ngx_http_proxy_module模块
qq_50685659的博客
08-07 1794
如果Nginx在访问被代理服务器过程中出现被代理服务器无法访问或者访问错误等现象时,Niginx服务器可以使用历史缓存响应客户端的请求,这些数据不一定和被代理服务器上的最新的数据相一致,但对于更新频率不高的后端服务器来事,nginx服务器的该功能在一定程度上能够为客户端提供不间断访问。proxy_pass后面的路径是一个uri时,其会将location的uri替换为proxy_pass的uri;注意:proxy_pass后面的路径不带uri时,其会将location的uri传递给后端主机;......
深入理解nginx realip模块[下]
一个致力于开源代码学习、分析和交流的博客
04-07 1452
本文通过码分析来详细阐述了nginxrealip 模块的实现原理。
nginx使用用户真实IPhash(解决经过CND后ip_hash失效问题)
weixin_34283445的博客
10-21 648
如题所示,我在以前的一篇文章(PS:https://www.zifangsky.cn/611.html)中已经介绍过了,在nginx中常用的有以下四种负载均衡的算法,分别是:round-robin、ip-hash、least-connected和weighted。当然在实际生产中或许使用最多的就是ip-hash了,一般会这样使用:upstreamh5{ ip_has...
nginx如何获取真实ip
Adobe Chow 的博客
08-14 1810
我这里使用是springboot项目,使用nginx做代理,但header里面的参数没有将ip带过来,所有需要配置nginxip带过来。RequestUtil.java文件。nginx.conf文件。
获得真实Ip
yz18931904的博客
06-13 1450
request方法客户端IP: request.getRemoteAddr() 输出:192.168.0.106客户端主机名:request.getRemoteHost()输出:abcrequest.getHeader(“Host”) 输出:192.168.0.1:8080Web服务器名字:request.getServerName()输出:192.168.0.1服务器监听的端口:request....
Nginx安装+nginx_upstream_check_module后端健康检查
02-23
- **--with-http_realip_module**: 启用真实IP地址模块。 - **--with-http_image_filter_module**: 启用图像处理模块。 - **--add-module**: 添加第三方模块。 #### 三、配置Nginx.conf **3.1 编辑配置文件** ...
Nginx安装url_hash插件.doc
08-14
进入Nginx码目录,配置并编译Nginx,确保指定`--with-http_realip_module`选项,以及包含url_hash模块的路径。 ``` cd nginx-0.7.57 ./configure --prefix=/usr/local/nginx --with-http_stub_status_module -...
Nginx第三方模块---nginx-sticky-module的使用(基于cookie的会话保持)
mtry技术栈
03-29 4034
nginx在会话保持这方面比较弱,用ip_hash做会话保持有很大的缺陷,它是通过客户端ip来实现,根据访问iphash结果分配请求到后端的app服务器,负载不会很均匀。nginx-sticky-module这个第三方模块可以基于cookie实现会话保持。
Nginx postread阶段 http_realip_module获取用户端真实IP
小楼一夜听春雨,深巷明朝卖杏花
11-02 1965
MyISAM支持三种不同存储格式。 其中两个(固定格式和动态格式)根据正使用的列的类型来自动选择。第三个,即已压缩格式,只能使用myisampack工具来创建,所谓的压缩是将整张表进行压缩,即每行都会压缩一些数据。 当你CREATE或ALTER一个没有BLOB或TEXT列的表,你可以用ROW_FORMAT表选项强制表的格式为FIXED或DYNAMIC。这会导致CHAR和VARCHAR列因
Nginx 码学习】推荐:Hash
看,未来的博客
01-05 1771
文章目录nginx 哈希结构的特色数据设计图数据结构初始化哈希表查找一个元素 nginx 哈希结构的特色 Nginxhash模块主要有如下几个特点: 1、静态只读。当初始化生成hash表结构后,是不能动态修改这个hash表结构的内容。 2、将内存利用最大化。Nginxhash表,将内存利用率发挥到了极致。 3、查询速度快。Nginxhash表做了内存对齐等优化。 4、主要解析配置数据。 数据设计图 数据结构 hash表的元素结构: typedef struct { void .
Nginx 配置⼀致性Hash负载均衡策略
凉茶铺的博客
07-19 903
ngx_http_upstream_consistent_hash模块是⼀个负载均衡器,使⽤⼀个内部⼀致性hash算法来选择合适的后端节点。该模块可以根据配置参数采取不同的⽅式将请求均匀映射到后端机器ngx_http_upstream_consistent_hash模块是⼀个第三⽅模块,需要我们下载安装后使⽤。...
nginx
Tzecto
06-30 794
nginx
Nginx:一致性哈希(第三方模块ngx_http_consistent_hash
kanguolaikanguolaik的专栏
05-03 9864
一、介绍         Nginx upstream可以实现负载均衡。         第三方模块ngx_http_consistent_hash通过一致性哈希算法来选择合适的后端节点。 二、下载、编译到Nginx 2.1 下载         文件名:ngx_http_consistent_hash-master.zip         github下载:https://githu
nginxip_hash算法
www_dong的博客
09-16 4863
根据用户请求的ip,利用算法映射成hash值,分配到特定的tomcat服务器中。主要是为了实现负载均衡,只要用户ip固定,则hash值固定,特定用户只能访问特定服务器,解决了session的问题。
nginx(五十七)ngx_http_upstream模块(二)一致性hash算法
wzj_110的博客
11-23 994
hash算法
nginx中的的ip_hash机制
热门推荐
单炒饭
06-09 6万+
1.采用nginx中的的ip_hash机制Nginx中的ip_hash技术能够将某个ip 的请求定向到同一台后端web机器中,这样一来这个ip 下的客户端和某个后端 web机器就能建立起稳固的session.ip_hash机制能够让某一客户机在相当长的一段时间内只访问固定的后端的某台真实的web服务器,这样会话就会得以保持,在网站页面进行login的时候就不会在后面的web服务器之间跳来跳去了,也...
nginx负载均衡ip-hash算法
qfikh的博客
10-08 1万+
我们指出:网络负载均衡本质上是分布式业务中调度系统的一种实现。作为网络请求分配的控制者,负载均衡器起着至关重要的作用。考虑到在任何一个网络请求中,都有一个地址和目标地址(IP和目标IP)。这样,在负载均衡器中,我们就可以利用这两个IP,通过一种散列算法把请求分配到不同的服务器上。这种算法就是目标散列调度(利用目标IP)和地址散列调度(利用IP)。这两种算法为静态算法。   下面我们分
./configure: error: invalid option "--without-http_realip_module"
最新发布
11-22
你遇到的错误: ``` ./configure: error: invalid option "--without-http_realip_module" ``` 说明 `--without-http_realip_module` 这个选项 **不被当前 Nginx 码版本支持**,即它不是一个有效的 `./configure` 参数。 --- ## 🔍 为什么这个错误会发生? 虽然 `ngx_http_realip_module` 是一个真实存在的模块(用于从指定头如 `X-Real-IP` 获取客户端真实 IP),但它的启用和禁用方式与其他模块不同: > ❌ 它 **不能通过 `--without-http_realip_module` 来禁用** 而是: - 默认是 **编译进 Nginx 的**(如果存在) - 只有当你显式使用 `--with-http_realip_module` 时才会被包含 - 并且 **没有对应的 `--without-xxx` 开关来“关闭”它** 也就是说:Nginx 的 configure 系统 **只提供 `--with-http_realip_module`,不提供 `--without-http_realip_module`**。 所以当你写 `--without-http_realip_module`,configure 脚本找不到这个选项,就报错:“invalid option”。 --- ## ✅ 正确做法:不要添加 `--without-http_realip_module` ### ✔️ 如果你不希望启用 RealIP 功能: 👉 **什么都不做** —— 只要你不加 `--with-http_realip_module`,该模块就不会被编译进去。 ✅ 所以正确的配置方式是: ```bash # 不要写这一行!它是无效的! # --without-http_realip_module ← 删除! # 如果你也没写 --with-http_realip_module,那模块自然就不在了 ``` --- ## 🧪 验证模块是否被编译进 Nginx 编译完成后,检查生成的配置文件: ```bash grep "NGX_HTTP_REALIP" objs/autoconf.h ``` - 如果输出为空 → 模块未启用 ✅ - 如果有定义 → 说明你或其他配置启用了它 也可以查看 `objs/nginx` 是否含有相关符号: ```bash aarch64-linux-gnu-readelf -s objs/nginx | grep realip ``` 如果没有结果,说明成功去除了。 --- ## 💡 补充知识:哪些模块可以用 `--without-xxx`?哪些不行? | 模块 | 启用选项 | 禁用选项 | 是否可禁用 | |------|---------|----------|-----------| | `ngx_http_rewrite_module` | `--with-http_rewrite_module` | `--without-http_rewrite_module` ✅ | 是 | | `ngx_http_gzip_module` | 自动启用 | `--without-http_gzip_module` ✅ | 是 | | `ngx_http_ssl_module` | `--with-http_ssl_module` | ❌ 无 `--without-http_ssl_module` | 否(靠不链接 OpenSSL 控制) | | `ngx_http_realip_module` | `--with-http_realip_module` | ❌ 无 `--without-http_realip_module` | 否 | | `ngx_http_proxy_module` | 内建 | `--without-http_proxy_module` ✅ | 是 | | `ngx_http_fastcgi_module` | 内建 | `--without-http_fastcgi_module` ✅ | 是 | 📌 总结: > 大多数 `--without-http_xxx_module` 只对 **内建模块(built-in)** 生效 > 而像 `realip`、`ssl` 这类需要 `--with-xxx` 显式开启的模块,**默认就是关闭的,无需也不能用 `--without` 去“禁用”** --- ## ✅ 修改后的正确 configure 示例(移除非法选项) ```bash CC=aarch64-linux-gnu-gcc \ CXX=aarch64-linux-gnu-g++ \ AR=aarch64-linux-gnu-ar \ RANLIB=aarch64-linux-gnu-ranlib \ ./configure \ --prefix=/opt/nginx \ --with-cc=aarch64-linux-gnu-gcc \ --with-cpp=aarch64-linux-gnu-cpp \ --with-ld-opt="-static" \ --without-pcre \ --without-http_rewrite_module \ --without-http_gzip_module \ --without-http_proxy_module \ --without-http_fastcgi_module \ --without-http_uwsgi_module \ --without-http_scgi_module \ --without-http_memcached_module \ --without-http_empty_gif_module \ --without-http_browser_module \ --without-http_geo_module \ --without-http_map_module \ --without-http_split_clients_module \ --without-http_referer_module \ --without-http_limit_conn_module \ --without-http_limit_req_module \ --without-http_auth_basic_module \ --without-http_access_module \ --without-http_addition_module \ --without-http_degradation_module \ --without-http_flv_module \ --without-http_mp4_module \ --without-http_sub_module \ --without-http_slice_module \ --without-mail \ --without-http_upstream_ip_hash_module \ --without-http_upstream_least_conn_module \ --without-http_upstream_keepalive_module \ --without-http_upstream_zone_module \ --without-threads \ --without-select_module \ --without-poll_module \ --without-kqueue_module \ --without-eventport_module \ --without-file_aio \ --without-http_dav_module \ --without-http_ssi_module \ --crossbuild=Linux::x86_64::unknown ``` > ✅ 已移除所有非法选项如 `--without-http_realip_module` 和 `--without-http_ssl_module` --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值