set_real_ip_from的介紹和實例

一、set_real_ip_from的概述

set_real_ip_from是一個Nginx模塊，可以幫助配置伺服器獲取客戶端的真實IP地址。當有一些代理伺服器時，客戶端的IP地址會被代理伺服器替代，導致IP地址無法正確識別。通過使用set_real_ip_from，可以指定代理伺服器的IP地址獲取客戶端真實IP地址。

set_real_ip_from指令告訴Nginx使用HTTP請求頭中指定的地址作為客戶端的真實IP地址。通常來說，這個指定的地址應該是代理伺服器的IP地址。當伺服器收到一個請求時，它將檢查是否存在指定IP的HTTP請求頭。如果存在，將使用該地址作為客戶端的真實IP地址。這樣，在Nginx日誌中記錄的客戶端IP地址就是真實的IP地址了。

二、set_real_ip_from的使用方法

將set_real_ip_from指令添加到Nginx配置文件中的HTTP塊中。

http {
    #...
    set_real_ip_from 192.168.1.1;
    real_ip_header X-Forwarded-For;
    #...
}

在上述示例中，set_real_ip_from指令將指定192.168.1.1作為代理伺服器的IP地址。real_ip_header指令告訴Nginx要使用HTTP請求頭X-Forwarded-For來查找真實IP地址。

三、set_real_ip_from的注意事項

1、設置代理伺服器的IP地址

在使用set_real_ip_from之前，需要了解哪個IP地址實際上是代理伺服器的IP地址。通常，代理伺服器的IP地址可以在代理伺服器的文檔中找到，或者通過聯繫伺服器管理員來獲得IP地址。

2、HTTP請求頭的安全問題

使用set_real_ip_from時，需要確保HTTP請求頭中包含真實IP地址的請求頭是安全的。如果客戶端可以修改此請求頭，攻擊者可以輕鬆地使用偽造的IP地址繞過安全措施。

3、處理多個代理伺服器

在某些情況下，客戶端的請求可能通過多個代理伺服器。在這種情況下，當Nginx在檢測HTTP請求頭中的真實IP地址時，不能只使用最後一個代理伺服器的IP地址。需要使用逗號分隔的多個IP地址，以便Nginx可以識別客戶端的真實IP地址。

http{
    #...
    set_real_ip_from 192.168.1.1；
    set_real_ip_from 192.168.1.2;
    real_ip_header X-Forwarded-For;
    #...
}

四、使用實例

下面是一個set_real_ip_from的完整示例，用於確定訪問Web應用程序的客戶端IP地址。

http {
    #...
    real_ip_header X-Forwarded-For;
    set_real_ip_from 192.168.1.0/24;
    set_real_ip_from 192.168.2.1;
    set_real_ip_from 10.0.0.0/8;
    #...
 
    server {
        listen 80;
        server_name example.com;
 
        location / {
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $host;
 
            proxy_pass http://127.0.0.1:8080;
        }
    }
}

在此示例中，設置了三個set_real_ip_from IP段。如果客戶端經過代理伺服器192.168.1.1，192.168.1.2或10.1.2.3，Nginx將獲取代理伺服器的IP地址。該配置文件還指示Nginx使用HTTP請求頭X-Forwarded-For作為客戶端的真實IP地址。