nginx获取请求真实IP

客户端和服务器之间如果通过反向代理连接，服务器端获取到的客户端IP实际上是反向代理的IP，那么有什么办法可以拿到客户端真实IP吗？

获取真实IP的原理

• 方案一：反向代理转发请求会把客户端IP添加到头部: x-real-ip，服务器可以从这个字段读取到真实IP，但是如果反向代理有多级的话，这种方式就没办法了。
• 方案二：反向代理在转发请求时，会在x-forwarded-for后面添加自己的IP，这样服务器就可以从x-forwarded-for的IP列表中判断出客户端IP。 因为header头是可以修改的，所以我们不能直接从x-forwarded-for从去第一个IP，而是从后往前取第一个非安全区的IP（直白来说就是就是非己方的IP）

使用样例

• 先需要编译安装

./configure --with-http_realip_module

• 配置文件设置

# 设置可信IP，支持多个，也支持网段和IPv6
set_real_ip_from  192.168.1.0/24;
set_real_ip_from  192.168.2.1;
# 从X-Forwarded-For解析客户端真实IP，默认是X-Real-IP
real_ip_header    X-Forwarded-For;

real_ip_recursive on;
server {
        # 省略其他配置....
        # nginx直接返回客户端IP到body
        location /ip {
            default_type text/plain;
            # 返回remote_addr, x_real_ip, realip_remote_addr, x_forwarded_for
            return 200 "remote_addr:$remote_addr\nx_real_ip:$http_x_real_ip\nrealip_remote_addr:$realip_remote_addr\nhttp_x_forwarded_for:$http_x_forwarded_for\n";
        }
}

• 请求内容（使用tcpdump抓包得到的）

GET /ip HTTP/1.1
User-Agent: PostmanRuntime/7.28.1
Accept: */*
x-forwarded-for: 10.43.44.73
x-real-ip: 10.43.44.73
Host: 9.134.77.51
x-client-ip: 10.43.44.73
Connection: keep-alive
Accept-Encoding: gzip

• 返回值body

remote_addr:9.218.225.23
x_real_ip: 9.218.225.23
realip_remote_addr:9.45.201.1
http_x_forwarded_for:9.218.225.23

谓词解释

• set_real_ip_from {ip || subnet}: 设置安全区IP或网段（进入该网段的第一个IP则被认为真实IP）
• real_ip_header {X-Forwarded-For | X-Real-IP}: 解析真实IP的两种方式
• real_ip_recursive on|off:

新增变量

realip模块会修改remote_addr和remote_port，会用一个realip_remote_addr和realip_remote_port表示nginx原来的地址和端口

• realip_remote_addr: 直连请求方的ip, 比如反向代理
• realip_remote_port: 直连请求方的port

参考

• nginx 如何配置来获取用户真实IP
• Module ngx_http_realip_module
• Nginx核心知识150讲: postread阶段：获取真实客户端地址的realip模块