引言

在現(xiàn)代生產(chǎn)環(huán)境中，Nginx 作為反向代理服務器被廣泛應用于服務的暴露與負載均衡。尤其是在面對公網(wǎng)訪問時，通常會在 Nginx 前端部署 CDN 或云廠商負載均衡器，以提升訪問性能與安全性。如何準確獲取并傳遞客戶端的真實 IP，成為開發(fā)與運維的重要課題。

本文將詳細剖析 Nginx 獲取客戶端真實 IP 的原理、配置方法以及常用變量的使用場景，幫助您在不同協(xié)議與架構下正確處理客戶端 IP。

反向代理與客戶端 IP 獲取的基本問題

默認情況下，Nginx 并不會自動修改或添加請求頭中的 X-Forwarded-For，這意味著：

• 如果前端的負載均衡器或 CDN 不傳遞 X-Forwarded-For，Nginx 獲取到的客戶端 IP 實際上是負載均衡器的 IP。
• 如果前端已經(jīng)傳遞了 X-Forwarded-For，Nginx 會原樣保留并轉(zhuǎn)發(fā)該請求頭。

因此，為確保后端服務能正確識別客戶端真實 IP，通常需要根據(jù)實際情況對請求頭進行配置和調(diào)整。

常用變量及其含義

理解 Nginx 的內(nèi)置變量對于正確配置至關重要，以下為關鍵變量解析：

$remote_addr

• 表示與 Nginx 服務器建立連接的上一層代理或客戶端的 IP 地址。
• 在 TCP 四層負載均衡場景下（開啟獲取客戶端真實 IP 功能），$remote_addr 通常是客戶端的真實 IP。
• 在 HTTP 七層負載均衡場景下，$remote_addr 通常是負載均衡器或 CDN 的 IP，因為客戶端真實 IP 通過 X-Forwarded-For 傳遞。

$http_x_forwarded_for

• 獲取請求頭中 X-Forwarded-For 的原始值，通常是前端負載均衡器或 CDN 添加的客戶端 IP 列表。
• 該值可以包含一個或多個 IP 地址，多個 IP 用逗號分隔，從左到右依次表示客戶端真實 IP 及經(jīng)過的代理 IP。

$proxy_add_x_forwarded_for

• Nginx 自帶的復合變量，用于追加當前連接的客戶端 IP（$remote_addr）到已有的 X-Forwarded-For 列表中。
• 若請求中沒有原始的 X-Forwarded-For，該變量值即為 $remote_addr。
• 例如，如果前端已經(jīng)傳遞了 X-Forwarded-For: 1.1.1.1，且 $remote_addr 是 2.2.2.2，設置后為：X-Forwarded-For: 1.1.1.1, 2.2.2.2。

典型配置方法及應用場景

在 Nginx 配置中傳遞客戶端真實 IP

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

此配置可以在保持原有 X-Forwarded-For 值的基礎上，追加當前連接 IP，適用于多級代理鏈場景，方便后端服務追蹤來源鏈路。

直接覆蓋 X-Forwarded-For 頭

proxy_set_header X-Forwarded-For $remote_addr;

此配置會覆蓋前面?zhèn)鬟f的所有 X-Forwarded-For 信息，直接將當前連接的 IP 作為唯一值。

適用場景：

• 您確信當前連接的 $remote_addr 是客戶端的真實 IP（如 TCP 四層負載均衡開啟真實 IP穿透時）。
• 或者想避免鏈路傳遞過長或含有無用代理 IP 時重置 IP 信息。

保持負載均衡器傳遞的真實 IP

當前端負載均衡器已經(jīng)正確注入客戶端真實 IP 到 X-Forwarded-For，一般無需在 Nginx 反代層修改該頭部，直接轉(zhuǎn)發(fā)即可：

proxy_set_header X-Forwarded-For $http_x_forwarded_for;

或者默認不設置，Nginx 會自動將接收到的請求頭透傳。

不同協(xié)議和監(jiān)聽層級對 IP 的影響

• TCP 四層監(jiān)聽（四層負載均衡）：

  • 負載均衡器通過網(wǎng)絡層直接轉(zhuǎn)發(fā)流量，若開啟“獲取客戶端真實 IP”，則 $remote_addr 即真實客戶端 IP，X-Forwarded-For 通常不存在。

• HTTP 七層監(jiān)聽（七層負載均衡）：

  • 負載均衡器通過 HTTP 協(xié)議代理請求，將客戶端真實 IP 放進 X-Forwarded-For 頭部，$remote_addr 是負載均衡器實例 IP。

綜上，確定您的架構和協(xié)議環(huán)境，是選擇合適真實 IP 獲取策略的前提。

Nginx 訪問日志中打印真實 IP

為了在日志中更準確地記錄客戶端的真實 IP，配置訪問日志時可使用：

log_format main '$remote_addr - $remote_user [$time_local] '
                '"$request" $status $body_bytes_sent '
                '"$http_referer" "$http_user_agent" '
                '"$http_x_forwarded_for"';

access_log /var/log/nginx/access.log main;

其中，$http_x_forwarded_for 可顯示真實的客戶端 IP 鏈路，方便排查和分析。

安全防護建議

由于 X-Forwarded-For 頭容易被客戶端偽造，建議：

• 只信任來自可信負載均衡/代理服務器的 IP 和 X-Forwarded-For。
• 使用 real_ip 模塊（ngx_http_realip_module）替換 $remote_addr 為真實客戶端 IP，配置如下：

set_real_ip_from 192.168.0.0/16;  # 代理服務器 IP 段
real_ip_header X-Forwarded-For;
real_ip_recursive on;

此配置確保后端應用能夠獲得正確的 $remote_addr，并防止偽造。

總結

• 理解負載均衡器的協(xié)議層級和“獲取客戶端真實 IP”功能對于正確配置 Nginx 與后端應用至關重要。
• $proxy_add_x_forwarded_for 是追加客戶端 IP 的最佳實踐，適合多級代理環(huán)境。
• 通過 real_ip 模塊配置，可將真實客戶端 IP 映射到 $remote_addr，方便應用處理。
• 日志中打印 $http_x_forwarded_for 有助于追蹤多跳代理鏈路。

合理配置與使用這些變量，能幫助您在復雜的負載均衡與代理環(huán)境中準確獲取客戶端真實 IP，確保業(yè)務的穩(wěn)定運行和安全防護。

以上就是Nginx獲取客戶端真實IP的原理及配置方法的詳細內(nèi)容，更多關于Nginx獲取客戶端真實IP的資料請關注腳本之家其它相關文章！

最新評論