nginx多重代理，java获取真实ip（防止伪造X-Forwarded-For）

请求路径 10.6.30.114（nginx）--> 10.6.30.135(nginx) --> 10.6.30.135(java)

nginx log配置

log_format main '$remote_addr | $http_x_forwarded_for | $http_x_real_ip

java 代码

    public Object initData(HttpServletRequest request) {
        Map ret = new HashMap<>();
        ret.put("remoteAddr", request.getRemoteAddr());
        Enumeration headerNames = request.getHeaderNames();
        while (headerNames.hasMoreElements()) {
            String headerName = headerNames.nextElement();
            ret.put(headerName, request.getHeader(headerName));
        }
        return ret;
    }

注意 1

说明一点，niginx日志里面打印出来的
$remote_addr $http_x_forwarded_for $http_x_real_ip
并不和java代码里面获取到的一样，nginx拿到请求后，先打印日志，后设置header，然后转发到下一层（nginx或java）

配置1

最外层nginx (10.6.30.114)
location / {
    access_log /home/yiwu/nginxlogs/test.log main;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $remote_addr;
    # 这里这么配置，是防止请求者伪造X-Forwarded-For
    # 这种配置，请求到达114之前的所有代理ip都将舍弃，只保留最后一个ip
    # 如果配置成  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    # 则会把请求者伪造的X-Forwarded-For一同带到接下来的请求
    proxy_pass http://10.6.30.135:80;  #135的nginx
}

发送一个请求给114 nginx， 加上header X-Forwarded-For 999.999.999.999

114 nginx日志打印出来的结果为
60.191.246.17 | 999.999.999.999 | -
对应nginx日志
$remote_addr  =  60.191.246.17  
#我本机真实的ip

$http_x_forwarded_for = 999.999.999.999  
# 我header伪造的ip 这个伪造的header 还是会打印在最外层的nginx日志上

$http_x_real_ip = -  
#没有值，因为这个时候，还没有设置header x-real-ip进去 跟注意1我说的一致

中间层nginx配置 (10.6.30.135)
location / {
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    # 这里不是最外层的nginx，header不会伪造，可以直接使用$proxy_add_x_forwarded_for

    proxy_pass http://10.6.30.135:8078; # 真实的java工程
}


135 nginx日志打印出来的结果
10.6.30.114 | 60.191.246.17 | 60.191.246.17
$remote_addr  10.6.30.114  # 为上一层nginx的地址
$http_x_forwarded_for 60.191.246.17 #真实ip+代理ip
$http_x_real_ip   60.191.246.17 # 114nginx设置 X-Real-IP $remote_addr;


java 
{
    "x-real-ip": "10.6.30.114",  # 对应135 nginx上设置的 X-Real-IP $remote_addr;
    "x-forwarded-for": "60.191.246.17, 10.6.30.114",   # 代理的链路
    "remoteAddr": "10.6.30.135", # 对应直接访问java工程的135 nginx ip
}

这时候java工程取客户端的真实ip 就用x-forwarded-for 第一个值

配置2

最外层nginx (10.6.30.114)
#proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#这里怎么配置都无所谓了，因为我们最终java代码中不用x-forwarded-for获取真实的ip
#我们配置2就用 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 模拟下伪造 X-Forwarded-For的情况
#这个配置 同时伪造header请求 其他一样
114nginx日志
60.191.246.17|999.999.999.999|-


中间层nginx配置 (10.6.30.135)
location / {
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $http_x_real_ip;
    # 这里的remote_addr 改成 http_x_real_ip

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://10.6.30.135:8078; # 真实的java工程
}
135nginx日志
10.6.30.114|999.999.999.999, 60.191.246.17|60.191.246.17
中间的  999.999.999.999, 60.191.246.17 就是吧我伪造的header也带进来了

java
{
    "x-real-ip": "60.191.246.17",
    "x-forwarded-for": "999.999.999.999, 60.191.246.17, 10.6.30.114",
    "remoteAddr": "10.6.30.135",
}
这时候 java就不能用 x-forwarded-for 来获取真实ip了 因为第一个是伪造的ip
得用x-real-ip来获取

配置3

采用 set_real_ip_from
114 nginx配置跟配置2一样 打印出的结果也一样

135 nginx配置
http下面配置
set_real_ip_from  10.6.30.114/24; #代表上一层的nginx ip，可以用网段的方式
real_ip_header    X-Forwarded-For;

localtion下面配置
location / {
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    # 这里就不能用http_x_real_ip，不然不好区分具体是哪个起作用了

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://10.6.30.135:8078; # 真实的java工程
}
135 nginx日志
60.191.246.17|999.999.999.999, 60.191.246.17|60.191.246.17

java
{
    "x-real-ip": "60.191.246.17",
    "x-forwarded-for": "999.999.999.999, 60.191.246.17, 60.191.246.17",
    "remoteAddr": "10.6.30.135",
}
用x-real-ip来获取

推荐使用配置3，有效预防伪造header

配置2 配置1， 总之记住一点，多层nginx下，最外层nginx与中间层nginx的配置要不一样。最终如何在java代码中获取真实ip，随便采用哪种方式都可以