图解 nginx 如何获取真实的来源 IP

几个概念

$remote_addr:这是 nginx 中的一个变量,是理论上请求来源的 IP 地址
$direct_ip:这是为例方便理解本文虚构的一个变量名,表示向 nginx 直接发起请求的客户端的真正 IP 地址

$direct_ip无法伪造的,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求。
一般来说 $remote_addr 就等于 $direct_ip,我们通常也就是这样直接地判断请求来源。
但是,在多层反向代理的架构中,这个 $direct_ip 往往是一台内部服务器的 IP,不能真实的反应请求的来源,如下图:

对于 nginx3 来说,我们期望它能得知请求的真实来源是 47.10.20.100,而不是 120.2.2.2

为此,在 nginx 中的 $remote_addr 取值专门设计了特定的逻辑
有三个重要变量可在 nginx 中配置:

set_real_ip_from  0.0.0.0/0;
real_ip_header    X-Forwarded-For;
real_ip_recursive  on;

set_real_ip_from:默认为空,可设置为任意 IP 或 IP 段,实例中的 0.0.0.0/0 表示覆盖了所有网段
real_ip_header:默认值是 X-Real-IP,可以设置为任意字符串,一般建议改用 X-Forwarded-For,下面也均以 X-Forwarded-For 为例
real_ip_recursive:默认为 off,可设 on / off 两种值

获取真实的客户 IP

网上介绍 $remote_addr 取值逻辑的文章有很多,此文不做赘述。
我们今天就单用一张图来解释下这个流程(点击图片查看大图):

由此 $remote_addr 的值即为最真实合理的来源 IP

示例

服务端 nginx 配置:

location / {
  set_real_ip_from  4.4.0.0/16;
  set_real_ip_from  3.3.3.3;  # 可以配置多条 set_real_ip_from,覆盖范围会叠加
  real_ip_header    X-Forwarded-For;
  real_ip_recursive  on;
}

上一级代理发来请求:

DirectIP: 4.4.5.5  # 代理节点的 IP
X-Forwarded-For: 1.1.1.1,2.2.2.2,3.3.3.3,4.4.4.4

理论上真实来源 IP:
$remote_addr = 2.2.2.2

总结

在多层反向代理的架构中,每一个 nginx 节点最好都添加上如下配置条目:

location / {
  proxy_pass http://xx.xx.xx.xx/;
  proxy_set_header Host $host;
  proxy_set_header X-Real-IP $remote_addr;
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  set_real_ip_from  10.2.0.0/16;  # 所有授信任的内部节点IP网段
  real_ip_header    X-Forwarded-For;
  real_ip_recursive  on;
}

参考资料

https://blog.csdn.net/qq_33101675/article/details/79013248 (红字部分解释得好)
https://www.jianshu.com/p/15f3498a7fad