nginx反向代理后,在应用中取得的ip都是反向代理服务器的ip,取得的域名也是反向代理配置的url的域名,解决该问题,需要在nginx反向代理配置中添加一些配置信息,目的将客户端的真实ip和域名传递到应用程序中。

 

nginx反向代理配置时,一般会添加下面的配置:

  

proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header REMOTE-HOST $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

其中第一行关于host的配置,是关于域名传递的配置,余下跟IP相关。


话不多说直接贴出Nginx实例代码:

upstream这个模块提供一个简单方法来实现在轮询和客户端IP之间的后端服务器负荷平衡。
upstream abc.com {
        server 127.0.0.1:8080;
        server 127.0.0.1:80;
        server 127.0.0.1:8000;
}

server {
        listen 80;
        server_name www.test.com;
        location / {
                proxy_pass http://abc.com;
                proxy_set_header    Host             $host;#保留代理之前的host
                proxy_set_header    X-Real-IP        $remote_addr;#保留代理之前的真实客户端ip
                proxy_set_header    X-Forwarded-For  $proxy_add_x_forwarded_for;
                proxy_set_header    HTTP_X_FORWARDED_FOR $remote_addr;#在多级代理的情况下,记录每次代理之前的客户端真实ip
                proxy_set_header X-Forwarded-Proto $scheme; #表示客户端真实的协议(http还是https)
                proxy_redirect      default;#指定修改被代理服务器返回的响应头中的location头域跟refresh头域数值
        }

php中取得客户端真实IP


1. /**
2.  * 获取客户端ip
3.  */
4. function
5. $ip = "unknown";  
6. /*
7.      * 访问时用localhost访问的,读出来的是“::1”是正常情况。
8.      * ::1说明开启了ipv6支持,这是ipv6下的本地回环地址的表示。
9.      * 使用ip地址访问或者关闭ipv6支持都可以不显示这个。
10.      * */
11. if (isset($_SERVER)) {  
12. if (isset($_SERVER["HTTP_X_FORWARDED_FOR"])) {  
13. $ip = $_SERVER["HTTP_X_FORWARDED_FOR"];  
14. elseif (isset($_SERVER["HTTP_CLIENT_ip"])) {  
15. $ip = $_SERVER["HTTP_CLIENT_ip"];  
16. else
17. $ip = $_SERVER["REMOTE_ADDR"];  
18.         }  
19. else
20. if (getenv('HTTP_X_FORWARDED_FOR')) {  
21. $ip = getenv('HTTP_X_FORWARDED_FOR');  
22. elseif (getenv('HTTP_CLIENT_ip')) {  
23. $ip = getenv('HTTP_CLIENT_ip');  
24. else
25. $ip = getenv('REMOTE_ADDR');  
26.         }  
27.     }  
28. if(trim($ip)=="::1"){  
29. $ip="127.0.0.1";  
30.     }  
31. return $ip;   
32. }


 

java取得客户端真实IP:


1. public
2. "x-forwarded-for");   
3. if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {   
4. "Proxy-Client-IP");   
5.     }   
6. if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {   
7. "WL-Proxy-Client-IP");   
8.   
9.     }   
10. if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {   
11.         ip = request.getRemoteAddr();   
12.     }   
13. return
14. }


 

 

php取得域名:


Php代码   


1. $_SERVER['SERVER_NAME'];



java取得域名:


Java代码   


1. request.getServerName()



具体场景:

在请求到达后端服务之前,会经过层层代理的转发。

(CDN反代之后的客户真实ip的取得-使用正则进行匹配,如有问题,请及时指出。)

 

nginx服务器指向映射地址 nginx servername指向ip_nginx服务器指向映射地址

 

一般的解决方案:

     

proxy_set_header            Host $host;
           proxy_set_header            X-real-ip $remote_addr;
           proxy_set_header            X-Forwarded-For $proxy_add_x_forwarded_for;

后端服务获取客户端真实IP的方法:
request.getAttribute("X-real-ip")

现象:

后端服务获取到的IP并不是客户端真实IP,而是某一级代理的IP。

 

分析:

从CDN开始,每经过一个代理做一次转发,x_forwarded_for就会在后面追加一个代理IP。请求到达nginx时,x_forwarded_for已经变成一个以逗号分隔的ip串,并且以转发顺序排序。

nginx的内置变量remote_addr仅能代表nginx的上一层代理的IP,现有的nginx配置将该值赋给X_Real_Ip,那么后端获取到的X_Real_Ip也是nginx上一层代理的IP,而不是客户端真实IP。

 

解决方案:

x_forwarded_for中的IP串,第一个IP即可代表客户端真实IP,因此可在nginx上对x_forwarded_for做一个正则匹配,获取第一个逗号之前的IP赋值给X-real-ip,从而达到不需要修改应用即可获取客户端真实IP的目的。

示例配置如下:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            set $Real $http_x_forwarded_for;
            if ( $Real ~ (\d+)\.(\d+)\.(\d+)\.(\d+),(.*) ){
                set $Real $1.$2.$3.$4;
            }
            proxy_set_header X-Real-Ip $Real;