nginx反向代理时如何传递真实客户端IP

最新推荐文章于 2025-03-25 19:16:00 发布
最新推荐文章于 2025-03-25 19:16:00 发布
阅读量2.5k 收藏 30
点赞数 40
文章标签: 网络 服务器 运维 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qw419828/article/details/142444922
版权

背景

nginx作为反向代理的时候,是用自己的IP去和服务器建立TCP连接,导致业务服务器无法看到通过ng反代访问的客户端的真实IP

  • 业务服务器

在8040端口起了一个web服务,并尝试去从请求中的X-Real-IP头中获取真实IP,如果没有X-Real-IP头的话,获取X-Forwarded-For最右边的IP作为源IP。如果两个都没有的话则使用和我们建立TCP连接的IP。并输出日志到web_service.log文件里

import http.server  
import socketserver  
import logging  
  
# 配置日志  
logging.basicConfig(filename='web_service.log', level=logging.INFO,  
                    format='%(asctime)s - %(levelname)s - %(message)s')  
  
class MyHTTPRequestHandler(http.server.BaseHTTPRequestHandler):  
    def do_GET(self):  
        # 尝试从X-Real-IP和X-Forwarded-For获取IP  
        real_ip = self.headers.get('X-Real-IP')  
        forwarded_for = self.headers.get('X-Forwarded-For')  
  
        # 如果没有X-Real-IP,则尝试使用X-Forwarded-For  
        if not real_ip:  
            if forwarded_for:  
            # 分割字符串,取最后一个元素(即最右边的IP),并去除可能的前后空格  
               real_ip = forwarded_for.split(',')[-1].strip()    

        # 如果两者都没有,则使用远程地址(可能是代理的地址)  
        if not real_ip:  
            real_ip = self.client_address[0]  
  
        # 记录访问日志  
        logging.info(f'Access from IP: {real_ip}, Path: {self.path}')  
  
        # 构建响应消息  
        response_message = "你干嘛,哎哟! Your IP is: " + real_ip  
  
        # 发送响应  
        self.send_response(200)  
        self.send_header('Content-type', 'text/html; charset=utf-8') 
        self.end_headers()  
  
        # 将响应消息编码为字节串并发送  
        self.wfile.write(response_message.encode('utf-8'))  


    def log_message(self, format, *args):  
        # 重写日志方法,因为我们已经自定义了日志记录  
        pass  
  
def run(server_class=http.server.HTTPServer, handler_class=MyHTTPRequestHandler):  
    server_address = ('', 8040)  
    httpd = server_class(server_address, handler_class)  
    logging.info('Starting httpd...\n')  
    try:  
        httpd.serve_forever()  
    except KeyboardInterrupt:  
        pass  
    httpd.server_close()  
    logging.info('Stopping httpd...\n')  
  
if __name__ == '__main__':  
    run()

NG测试

不过NG测试

此时拓扑如下:

客户端----->服务器

  • 不伪造XFF和x-real

可以看到,服务器获取到的是真实的客户端IP

  • 伪造x-real-ip

此时服务器获取到的IP是从X-Real-Ip这个头里获取的,但是这个头是我伪造的,导致服务器没有获取到我真实的IP

  • 伪造X-forwarded-for头

可以看到服务器获取到的源IP是XFF的最右边的一个,但是这个也是我伪造的

  • 结论

如果业务服务器从x-real-ip或者xff头中获取,客户端一就无法获取到真实的源IP了

过NG测试

  • nginx配置文件

upstream www.server_pools {
         server 192.168.1.35:8040 ;    
}
server {  
        listen       9090;  
        server_name  localhost;  
        location / {  
            proxy_pass http://www.server_pools;       
            proxy_set_header Host $host;  
            proxy_set_header X-Real-IP $remote_addr;       #将客户端的真实IP地址添加到X-Real-IP头中
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;   #将客户端的IP地址(以及可能经过的其他代理的IP地址)添加到X-Forwarded-For头中,形成一个由逗号分隔的IP地址列表
            proxy_set_header X-Forwarded-Proto $scheme;     #递原始请求使用的协议(http或https)
      }  
}

  • nginx不配置任何字段

upstream www.server_pools {
         server 192.168.1.35:8040 ;    
}
server {  
        listen       9090;  
        server_name  localhost;  
        location / {  
            proxy_pass http://www.server_pools;       
      }  
}

可以看到因为请求里面没有x-real-ip和xff头且ng也没有去set这两个头,业务服务器读不到这两个头自然而然地获取到的IP就是remote ip即ng的ip

  • nginx配置X-real-IP头

upstream www.server_pools {
         server 192.168.1.35:8040 ;    
}
server {  
        listen       9090;  
        server_name  localhost;  
        location / {  
            proxy_pass http://www.server_pools;  
            proxy_set_header Host $host;  
            proxy_set_header X-Real-IP $remote_addr;
      }  
}

客户端不伪造的情况下

获取到的是真实的客户端IP,且此时在服务器抓包看到ng发过来的包里是有x-real-ip这个头的

客户端伪造x-real-ip

可以看到此时获取到的IP依然是客户端的IP,在服务器抓包看到的X-Real-IP也是客户端的IP,当nginx收到客户端的请求中时,会把X-Real-IP的内容用remote IP替换掉

  • nginx配置XFF头

upstream www.server_pools {
         server 192.168.1.35:8040 ;    
}
server {  
        listen       9090;  
        server_name  localhost;  
        location / {  
            proxy_pass http://www.server_pools;       
            proxy_set_header Host $host;  
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;   #将客户端的IP地址(以及可能经过的其他代理的IP地址)添加到X-Forwarded-For头中,形成一个由逗号分隔的IP地址列表
            proxy_set_header X-Forwarded-Proto $scheme;     #递原始请求使用的协议(http或https)
      }  
}

客户端不伪造XFF头

获取到的是真实的客户端IP,nginx在转发请求的时候把客户端的IP塞到了XFF头里转发给服务器,服务器在读不到X-Real-IP的时候会去读XFF,此时输出的IP即为XFF里的真实IP

  • 客户端伪造XFF头

此时获取到的源 IP依然是客户端的真实IP,请求咋经过ng的时候,ng会把客户端的真实IP插到XFF头的最右边

结论

请求不过NG的时候,客户端伪造X-Real-IP头和XFF头如果业务服务器是从这两个头中读源IP的话很容易导致业务服务器获取不到真实的客户端IP所以只能获取remote IP作为源IP,当请求经过NG代理的话且业务服务器获取remote IP作为源IP的话会导致获取到的源IP都是NG的IP。所以需要调整NG的配置主动去set x-real和xff头并把remote IP插进去,以及调整业务服务器获取源IP的方式

胖虎射线
关注
nginx利用反向代理实现获取用户真实ip
AmourHaiti的博客
09-27 7319
以下所有的实操都是在redhat7.3上 我们访问互联网上的服务,大多数客户端并不是直接访问到服务端的,而是客户端首先请求到反向代理反向代理再转发到服务端实现服务访问,通过反向代理实现路由/负载均衡等策略。这样在服务端拿到的客户端IP将是反向代理IP,而不是真实客户端IP,因此需要想办法来获取到真实客户端IP web服务器获得真正的用户和真实ip客户端访问服务端的数据流走向 ...
Nginx - 在Nginx中透传客户端真实IP的技巧
小工匠
05-19 8456
在使用 Nginx 作为反向代理服务器,默认情况下,后端服务器只能看到 NginxIP 地址。为了记录日志、限制访问或进行其他基于 IP 地址的操作,获取客户端真实 IP 地址非常重要。
Netty - 从Nginx 四层(TCP/UDP)流量中获取客户端真实/网络出口IP
最新发布
小工匠
03-25 1828
在存在NAT或VPN的网络架构中,通过Proxy Protocol获取客户端真实IP的能力受限于网络设备的位置。若NAT/VPN位于客户端Nginx之间(如企业VPN或家庭路由),Proxy Protocol仅能传递经过NAT转换或VPN隧道出口的IP(如公网IP或VPN分配地址),无法穿透获取终端设备的内网真实IP。若需突破此限制,可采取混合方案:客户端主动上报IP(需改造客户端代码)并配合网络设备改造(如VPN网关记录原始IP、专用隧道协议)。但需注意隐私合规风险,避免采集敏感信息。
nginx--Nginx转发真实IP
m0_50207524的博客
04-20 2442
在使用nginx候可能会遇到判断是不是本机在做操作,这样的话web端我们是可以通过ip和端口进行远程连接的这样的话我们就需要从后端获取到真实ip来判断是不是指定的机器了,本篇文章讲解的就是怎样通过nginx转发的候带上真实ip
Nginx配置之反向代理获取真实ip
fendoudebb的博客
08-01 823
保留代理之前的host proxy_set_header Host $host; 保留代理之前的真实客户端ip proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 在多级代理的情况下,记录每次代理之前的客户端真实ip proxy_set_header HTTP_X_FORWARDED_FOR $remote_addr; 指定修改被代理服务器返回的响应头
nginx反向代理如何获取真实IP
高性价比服务器就选:蓝易云
12-10 830
现在,Nginx会从指定的header字段中获取真实IP地址。您可以在后端服务器或应用程序中,通过查找指定的header字段,来获取客户端真实IP地址。在Nginx反向代理中,要获取真实IP地址,需要注意客户端IP可能会被代理服务器篡改。通过这个教程,您已经学会了在Nginx反向代理中获取客户端真实IP地址的方法,确保应用程序能够正确处理客户端真实IP信息。模块,用于获取真实IP地址。注意:在实际部署中,根据您的网络架构和代理配置,可能需要适当地调整。的配置,以确保正确获取真实IP地址。
Nginx作为反向代理传递客户端IP的设置方法
01-10
因为架构的需要采用多级 Nginx 反向代理,但是后端的程序获取到的客户端 IP 都是前端 NginxIP,问题的根源在于后端的 Nginx 在 HTTP Header 中取客户端 IP 没有取对正确的值。 同样适用于前端是 Squid 或者...
Nginx反向代理传递客户端真实IP&Nginx配置使用缓存机制&压力测试
Field_Yang的博客
04-20 4598
win7客户端请求web服务,win7 ; nginx作为反向代理服务器:192.168.88.130:8080 test.field.com ; nginx作为后端web服务器:192.168.88.131:8080 www.field.com ; httpd作为后端web服务器:192.168.88.131:80  www.field.com ;   1、Nginx反向代理传递客户...
nginx反向代理,获取客户端ip
u010865136的专栏
02-29 892
其中ip1是真实客户端ip地址,ip2和ip3是代理ip地址,正式环境网关走了几次代理,便会有几个ip拼接,这种情况获取客户端ip,需要取第一个ip1,详见步骤一种的代码处理。内网环境$_SERVER['HTTP_X_FORWARDED_FOR']获取到ip是单个ip地址,确实是客户端ip。正式环境$_SERVER['HTTP_X_FORWARDED_FOR']获取到的是ip串,ip之间有。1、通过步骤一中获取客户端ip的方法,ajax请求获取到的客户端ip是服务端的ip地址;
nginx反向代理真实IP_nginx反向代理_
10-02
要获取Nginx反向代理下的真实IP,主要涉及以下两个关键配置: 1. **$remote_addr 变量**:这是Nginx默认记录的客户端IP地址。在没有经过代理的情况下,$remote_addr会存储客户端IP。但当Nginx作为反向代理,它...
Nginx服务(4)——Nginx 反向代理获取真实客户端ip
weixin_45784367的博客
03-01 3636
文章目录一、前言1、Nginx反向代理获取客户端真实IP原理2、nginx中的几个变量?二、实现Nginx 反向代理获取源地址实验环境实验1、获取客户端ip在server1(服务端):在server2(代理服务器)上:在真机上(客户端):在server1(服务端)上:2、获取代理ip在真机上(客户端):在server1(服务端)上: 一、前言 1、Nginx反向代理获取客户端真实IP原理 我们...
nginx(三)实现反向代理客户端 IP透传
2301_81307988的博客
02-28 1751
正常情况下,客户端去访问代理服务器,然后代理服务器再取访问真实服务器,在真实服务器上,只能显示代理服务器ip地址,而不显示客户端ip地址,如果想让客户端ip地址也能在真实服务端看见,这一技术叫做IP透传。如果想看见真实访问的ip地址,就是客户端跟代理服务端的ip 看以下操作。在代理服务端(7-1)
nginx中获取真实ip
热门推荐
a936676463的专栏
05-22 3万+
server {         listen       80;         server_name  localhost;         location /{             root   html;             index  index.html index.htm;                             proxy_pass
nginx反向代理获取用户真实Ip地址
sll714827的博客
03-07 4385
nginx反向代理获取用户真实Ip地址 nginx反向代理,默认的配置后端获取到的Ip地址都来自于nginx,用request.getRemoteAddr();获取到的是nginxip地址,而不是用户的真实ip. 1.修改Nginx配置: server { listen 80; server_name jenkins.local.com; location / { proxy_set_header Host $host;
nginx反向代理之获取客户端IP(一)
easonhyj的博客
12-12 958
如果我们想让传递给后端服务器的 Host 字段,包含的是用户访问反向代理使用的域名,就需要通过 proxy_set_header 设置 Host 字段,值可以为。那么这个候就要用到 X-Forwarded-For ,设置 X-Forwarded-For 是增加,而不是覆盖,从客户的真实IP为起点,穿过多层级代理 ,最终到达后端服务器,都会被记录下来。经过反向代理后,后端服务器无法直接拿到客户端ip,也就是说,在应用中使用。,将客户端ip 添加到了 HTTP header中,让应用可以使用。
Nginx 反向代理如何获取客户端真实 IP、域名、端口和协议?
RAB
11-01 8563
Nginx 反向代理如何获取客户端真实 IP、域名、端口和协议?
Tcpdump简直就是命令行抓包中的神!
网络技术联盟站
07-31 217
Tcpdump是一款功能强大的命令行包分析工具,可用于捕获和显示计算机网络中传输或接收的数据包。它由Lawrence Berkeley National Laboratory开发,并作为一个开源项目发布。Tcpdump允许用户监控和分析网络通信,从而帮助网络管理员和安全专业人员进行网络故障排除和分析。无论是日常的网络维护,还是网络安全事件的调查,Tcpdump都可以提供强大的支持。
nginx设置反向代理,获取真实客户端ip
乐乐的博客
08-15 1万+
upstream这个模块提供一个简单方法来实现在轮询和客户端IP之间的后端服务器负荷平衡。 upstream abc.com { server 127.0.0.1:8080; server 127.0.0.1:80; server 127.0.0.1:8000; }server { listen 80; server_n
nginx作为代理是传递客户端真实IP给应用
陀螺TOP
10-28 547
通过nginx作为代理访问应用,后端应用要获取请求客户端真实IP需要添加头部信息: 语法: proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 作用域:http, server, location 配置说明: 可以配置在 http,server,location 作用域,配置不同域中作用范围不同,请根据需求配置 示例配置在location中
nginx反向代理 真实ip
12-01
为了获取真实客户端IP,可以使用nginx的realip模块。该模块可以从请求头中获取客户端真实IP地址,并将其传递给后端服务器。使用该模块需要在nginx的配置文件中进行如下配置: 1.在http块中添加以下配置: ```nginx http { # ... real_ip_header X-Forwarded-For; set_real_ip_from 192.168.1.0/24; # ... } ``` 其中,real_ip_header指定了从哪个请求头中获取客户端IP地址,一般情况下使用X-Forwarded-For;set_real_ip_from指定了哪些IP地址可以被信任,只有这些IP地址才会被认为是客户端真实IP地址。 2.在server块中添加以下配置: ```nginx server { # ... location / { # ... proxy_set_header X-Real-IP $remote_addr; # ... } } ``` 其中,proxy_set_header指定了将客户端真实IP地址传递给后端服务器的请求头名称,一般情况下使用X-Real-IP;$remote_addr表示nginx服务器客户端之间的IP地址。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值