图解 nginx 如何获取真实的来源 IP

几个概念

$remote_addr：这是 nginx 中的一个变量，是理论上请求来源的 IP 地址
$direct_ip：这是为例方便理解本文虚构的一个变量名，表示向 nginx 直接发起请求的客户端的真正 IP 地址

$direct_ip 是无法伪造的，因为建立 TCP 连接需要三次握手，如果伪造了源 IP，无法建立 TCP 连接，更不会有后面的 HTTP 请求。
一般来说 $remote_addr 就等于 $direct_ip，我们通常也就是这样直接地判断请求来源。
但是，在多层反向代理的架构中，这个 $direct_ip 往往是一台内部服务器的 IP，不能真实的反应请求的来源，如下图：

对于 nginx3 来说，我们期望它能得知请求的真实来源是 47.10.20.100，而不是 120.2.2.2

为此，在 nginx 中的 $remote_addr 取值专门设计了特定的逻辑
有三个重要变量可在 nginx 中配置：

set_real_ip_from  0.0.0.0/0;
real_ip_header    X-Forwarded-For;
real_ip_recursive  on;

set_real_ip_from：默认为空，可设置为任意 IP 或 IP 段，实例中的 0.0.0.0/0 表示覆盖了所有网段
real_ip_header：默认值是 X-Real-IP，可以设置为任意字符串，一般建议改用 X-Forwarded-For，下面也均以 X-Forwarded-For 为例
real_ip_recursive：默认为 off，可设 on / off 两种值

获取真实的客户 IP

网上介绍 $remote_addr 取值逻辑的文章有很多，此文不做赘述。
我们今天就单用一张图来解释下这个流程（点击图片查看大图）：

由此 $remote_addr 的值即为最真实合理的来源 IP

示例

服务端 nginx 配置：

location / {
  set_real_ip_from  4.4.0.0/16;
  set_real_ip_from  3.3.3.3;  # 可以配置多条 set_real_ip_from，覆盖范围会叠加
  real_ip_header    X-Forwarded-For;
  real_ip_recursive  on;
}

上一级代理发来请求:

DirectIP: 4.4.5.5  # 代理节点的 IP
X-Forwarded-For: 1.1.1.1,2.2.2.2,3.3.3.3,4.4.4.4

理论上真实来源 IP:
$remote_addr = 2.2.2.2

总结

在多层反向代理的架构中，每一个 nginx 节点最好都添加上如下配置条目：

location / {
  proxy_pass http://xx.xx.xx.xx/;
  proxy_set_header Host $host;
  proxy_set_header X-Real-IP $remote_addr;
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  set_real_ip_from  10.2.0.0/16;  # 所有授信任的内部节点IP网段
  real_ip_header    X-Forwarded-For;
  real_ip_recursive  on;
}

参考资料

https://blog.csdn.net/qq_33101675/article/details/79013248 (红字部分解释得好)
https://www.jianshu.com/p/15f3498a7fad

最后编辑于：2019.11.25 09:30:07