请求路径 10.6.30.114(nginx)--> 10.6.30.135(nginx) --> 10.6.30.135(java)
nginx log配置
log_format main '$remote_addr | $http_x_forwarded_for | $http_x_real_ip
java 代码
public Object initData(HttpServletRequest request) {
Map<String, Object> ret = new HashMap<>();
ret.put("remoteAddr", request.getRemoteAddr());
Enumeration<String> headerNames = request.getHeaderNames();
while (headerNames.hasMoreElements()) {
String headerName = headerNames.nextElement();
ret.put(headerName, request.getHeader(headerName));
}
return ret;
}
注意 1
说明一点,niginx日志里面打印出来的
$remote_addr $http_x_forwarded_for $http_x_real_ip
并不和java代码里面获取到的一样,nginx拿到请求后,先打印日志,后设置header,然后转发到下一层(nginx或java)
配置1
最外层nginx (10.6.30.114)
location / {
access_log /home/yiwu/nginxlogs/test.log main;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
# 这里这么配置,是防止请求者伪造X-Forwarded-For
# 这种配置,请求到达114之前的所有代理ip都将舍弃,只保留最后一个ip
# 如果配置成 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 则会把请求者伪造的X-Forwarded-For一同带到接下来的请求
proxy_pass http://10.6.30.135:80; #135的nginx
}
发送一个请求给114 nginx, 加上header X-Forwarded-For 999.999.999.999
114 nginx日志打印出来的结果为
60.191.246.17 | 999.999.999.999 | -
对应nginx日志
$remote_addr = 60.191.246.17
#我本机真实的ip
$http_x_forwarded_for = 999.999.999.999
# 我header伪造的ip 这个伪造的header 还是会打印在最外层的nginx日志上
$http_x_real_ip = -
#没有值,因为这个时候,还没有设置header x-real-ip进去 跟注意1我说的一致
中间层nginx配置 (10.6.30.135)
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 这里不是最外层的nginx,header不会伪造,可以直接使用$proxy_add_x_forwarded_for
proxy_pass http://10.6.30.135:8078; # 真实的java工程
}
135 nginx日志打印出来的结果
10.6.30.114 | 60.191.246.17 | 60.191.246.17
$remote_addr 10.6.30.114 # 为上一层nginx的地址
$http_x_forwarded_for 60.191.246.17 #真实ip+代理ip
$http_x_real_ip 60.191.246.17 # 114nginx设置 X-Real-IP $remote_addr;
java
{
"x-real-ip": "10.6.30.114", # 对应135 nginx上设置的 X-Real-IP $remote_addr;
"x-forwarded-for": "60.191.246.17, 10.6.30.114", # 代理的链路
"remoteAddr": "10.6.30.135", # 对应直接访问java工程的135 nginx ip
}
这时候java工程取客户端的真实ip 就用x-forwarded-for 第一个值
配置2
最外层nginx (10.6.30.114)
proxy_set_header X-Real-IP $remote_addr;
#proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#这里怎么配置都无所谓了,因为我们最终java代码中不用x-forwarded-for获取真实的ip
#我们配置2就用 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 模拟下伪造 X-Forwarded-For的情况
#这个配置 同时伪造header请求 其他一样
114nginx日志
60.191.246.17|999.999.999.999|-
中间层nginx配置 (10.6.30.135)
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $http_x_real_ip;
# 这里的remote_addr 改成 http_x_real_ip
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://10.6.30.135:8078; # 真实的java工程
}
135nginx日志
10.6.30.114|999.999.999.999, 60.191.246.17|60.191.246.17
中间的 999.999.999.999, 60.191.246.17 就是吧我伪造的header也带进来了
java
{
"x-real-ip": "60.191.246.17",
"x-forwarded-for": "999.999.999.999, 60.191.246.17, 10.6.30.114",
"remoteAddr": "10.6.30.135",
}
这时候 java就不能用 x-forwarded-for 来获取真实ip了 因为第一个是伪造的ip
得用x-real-ip来获取
配置3
采用 set_real_ip_from
114 nginx配置跟配置2一样 打印出的结果也一样
135 nginx配置
http下面配置
set_real_ip_from 10.6.30.114/24; #代表上一层的nginx ip,可以用网段的方式
real_ip_header X-Forwarded-For; //代表如果remote_addr 是real_ip_from ,那就从这个header里面获取最后一个ip地址,set到remote_addr里面
localtion下面配置
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
# 这里就不能用http_x_real_ip,不然不好区分具体是哪个起作用了
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://10.6.30.135:8078; # 真实的java工程
}
135 nginx日志
60.191.246.17|999.999.999.999, 60.191.246.17|60.191.246.17
java
{
"x-real-ip": "60.191.246.17",
"x-forwarded-for": "999.999.999.999, 60.191.246.17, 60.191.246.17",
"remoteAddr": "10.6.30.135",
}
用x-real-ip来获取
推荐使用配置3,有效预防伪造header
配置2 配置1, 总之记住一点,多层nginx下,最外层nginx与中间层nginx的配置要不一样。最终如何在java代码中获取真实ip,随便采用哪种方式都可以
