如何正確設置nginx中remote_addr和x_forwarded_for參數

做網站時經常會用到remote_addr和x_forwarded_for這兩個頭信息來獲取客戶端的IP，然而當有反向代理或者CDN的情況下，這兩個值就不夠准確了，需要調整一些配置。

什么是remote_addr

remote_addr代表客戶端的IP，但它的值不是由客戶端提供的，而是服務端根據客戶端的ip指定的，當你的瀏覽器訪問某個網站時，假設中間沒有任何代理，那么網站的web服務器（Nginx，Apache等）就會把remote_addr設為你的機器IP，如果你用了某個代理，那么你的瀏覽器會先訪問這個代理，然后再由這個代理轉發到網站，這樣web服務器就會把remote_addr設為這台代理機器的IP。

什么是x_forwarded_for

正如上面所述，當你使用了代理時，web服務器就不知道你的真實IP了，為了避免這個情況，代理服務器通常會增加一個叫做x_forwarded_for的頭信息，把連接它的客戶端IP（即你的上網機器IP）加到這個頭信息里，這樣就能保證網站的web服務器能獲取到真實IP

HAProxy做反向代理

通常網站為了支撐更大的訪問量，會增加很多web服務器，並在這些服務器前面增加一個反向代理（如HAProxy），它可以把負載均勻的分布到這些機器上。你的瀏覽器訪問的首先是這台反向代理，它再把你的請求轉發到后面的web服務器，這就使得web服務器會把remote_addr設為這台反向代理的IP，為了能讓你的程序獲取到真實的客戶端IP，你需要給HAProxy增加以下配置

option forwardfor

它的作用就像上面說的，增加一個x_forwarded_for的頭信息，把你上網機器的ip添加進去

使用Nginx的realip模塊

當Nginx處在HAProxy后面時，就會把remote_addr設為HAProxy的IP，這個值其實是毫無意義的，你可以通過nginx的realip模塊，讓它使用x_forwarded_for里的值。使用這個模塊需要重新編譯Nginx，增加--with-http_realip_module參數

set_real_ip_from    10.1.10.0/24;
real_ip_header        X-Forwarded-For;

上面的配置就是把從10.1.10這一網段過來的請求全部使用X-Forwarded-For里的頭信息作為remote_addr

將Nginx架在HAProxy前面做HTTPS代理

網站為了安全考慮通常會使用https連接來傳輸敏感信息，https使用了ssl加密，HAProxy沒法直接解析，所以要在HAProxy前面先架台Nginx解密，再轉發到HAProxy做負載均衡。這樣在Web服務器前面就存在了兩個代理，為了能讓它獲取到真實的客戶端IP，需要做以下配置。

首先要在Nginx的代理規則里設定

proxy_set_header        X-Forwarded-For    $proxy_add_x_forwarded_for;

這樣會讓Nginx的https代理增加x_forwarded_for頭信息，保存客戶的真實IP。

其次修改HAProxy的配置

option        forwardfor     except    10.1.10.0/24;

這個配置和之前設定的差不多，只是多了個內網的IP段，表示如果HAProxy收到的請求是由內網傳過來的話（https代理機器），就不會設定x_forwarded_for的值，保證后面的web服務器拿到的就是前面https代理傳過來的。

為什么PHP里的HTTP_X_FORWARDED_FOR和Nginx的不一樣

當你的網站使用了CDN后，用戶會先訪問CDN，如果CDN沒有緩存，則回源站（即你的反向代理）取數據。CDN在回源站時，會先添加x_forwarded_for頭信息，保存用戶的真實IP，而你的反向代理也會設定這個值，不過它不會覆蓋，而是把CDN服務器的IP（即當前remote_addr）添加到x_forwarded_for的后面，這樣x_forwarded_for里就會存在兩個值。Nginx會使用這些值里的第一個，即客戶的真實IP，而PHP則會使用第二個，即CDN的地址。為了能讓PHP也使用第一個值，你需要添加以下fastcgi的配置。

fastcgi_param  HTTP_X_FORWARDED_FOR    $http_x_forwarded_for;

 

它會把nginx使用的值（即第一個IP）傳給PHP，這樣PHP拿到的x_forwarded_for里其實就只有一個值了，也就不會用第二個CDN的IP了。

 

忽略x_forwarded_for

其實，當你使用了Nginx的realip模塊后，就已經保證了remote_addr里設定的就是客戶端的真實IP，再看下這個配置

set_real_ip_from    10.1.10.0/24;
real_ip_header        X-Forwarded-For

 

它就是把x_forwarded_for設為remote_addr，而nginx里的x_forwarded_for取的就是其中第一個IP。

使用這些設置就能保證你的remote_addr里設定的一直都是客戶端的真實IP，而x_forwarded_for則可以忽略了:)
————————————————
版權聲明：本文為CSDN博主「隨風xdy」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/njxdy/article/details/9998481