nginx realip模块

nginx realip模块

realip模块的作用是：当本机的nginx处于一个反向代理的后端时获取到真实的用户IP。

如果没有realip模块，nginx的access_log里记录的IP会是反向代理服务器的IP，PHP中$_SERVER[‘REMOTE_ADDR’]的值也是反向代理的IP。

而安装了realip模块，并且配置正确，就可以让nginx日志和php的REMOTE_ADDR都变成真实的用户IP。

举一个最简单的例子，网络架构如图：

如果不做任何配置，后端web服务器nginx日志里记录的IP将会是10.10.10.10，这个时候我们增加如下nginx配置：

set_real_ip_from 10.10.10.10; real_ip_header X-Forwarded-For;

set_real_ip_from指令是告诉nginx，10.10.10.10是我们的反代服务器（信任服务器，记住这个名词，下面会提到），不是真实的用户IP，real_ip_header则是告诉nginx真正的用户IP是存在X-Forwarded-For请求头中（对X-Forwarded-For不了解的同学请自行百度）。

重新加载nginx配置之后，就可以看到nginx日志里记录的IP就是123.123.123.123了，php里的REMOTE_ADDR也是123.123.123.123。

realip模块还提供了另外一个指令real_ip_recursive，可以用来处理更加复杂的情况，架构如图：

这个时候如果还用上面的配置，后端nginx的日志里显示的IP就变成了192.168.1.10了，这个时候就需要real_ip_recursive这个指令了。

set_real_ip_from 10.10.10.10; set_real_ip_from 192.168.1.10; real_ip_header X-Forwarded-For; real_ip_recursive on;

官网文档对于real_ip_recursive指令的解释十分拗口，看了老半天才明白

首先要明确一点，realip模块生效的前提是：直接连接nginx的ip是在set_real_ip_from中指定的。

当real_ip_recursive为off时，nginx会把real_ip_header指定的HTTP头中的最后一个IP当成真实IP

当real_ip_recursive为on时，nginx会把real_ip_header指定的HTTP头中的最后一个不是信任服务器的IP当成真实IP

在这个例子中，当请求到达后端web服务器时，X-Forwarded-For应该是123.123.123.123, 192.168.1.10。如果real_ip_recursive为off，nginx取X-Forwarded-For的最后一个IP也就是192.168.1.10作为真实IP。如果real_ip_recursive为on，由于192.168.1.10是信任服务器IP，所以nginx会继续往前查找，发现123.123.123.123不是信任服务器IP，就认为是真实IP了。

nginx反向代理后端web服务器记录客户端ip地址

nginx在做反向代理的时候，后端的nginx web服务器log中记录的地址都是反向代理服务器的地址，无法查看客户端访问的真实ip。

在反向代理服务器的f配置文件中进行配置。

 location /bbs {proxy_pass 192.168.214.131/bbs;
            proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;}

在后端的nginx web服务器上，要确认nginx有没有编译安装 --with-http_realip_module模块。

 realip 模块的作用是：当本机的nginx处于一个反向代理的后端时获取到真实的用户IP。

如果没有realip模块，nginx的access_log里记录的IP会是反向代理服务器的IP，PHP中$_SERVER[‘REMOTE_ADDR’]的值也是反向代理的IP。

而安装了realip模块，并且配置正确，就可以让nginx日志和php的REMOTE_ADDR都变成真实的用户IP。

如果后端nginx没有安装realip模块，可以在线平滑添加新模块

1 2	nginx添加realip模块，（这里是后端web服务器） 先查看已经编译过的模块 /usr/local/webserver/nginx/sbin/nginx -V

    1、cd nginx-1.8.0
    2 、/configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_ssl_module --with-http_stub_status_module --with-pcre=/mnt/lnmp/pcre-8.31 --with-http_realip_module    3、           3、make     --不要make install 否则会覆盖以前的配置文件

    4 、 cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak

    5、 cp objs/nginx       /usr/local/nginx/sbin/       #如果出现  “nginx正在忙的提示”  先停止nginx运行
    6、 /usr/local/nginx/sbin/nginx -V
    7、 /usr/local/nginx/sbin/nginx

　　

然后在后端nginx web服务器的f配置文件中进行修改。

          proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;set_real_ip_from 192.168.214.132;          #set_real_ip_from指令是告诉nginx，10.10.10.10是我们的反代服务器，不是真实的用户IPreal_ip_header X-Real-IP;                  #real_ip_header则是告诉nginx真正的用户IP是存在X-Forwarded-For请求头中

          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

同时启用web服务器的日志记录，使用默认即可。

1 2 3 4 5 6 7 8 9 10 11

http {      include       pes;      default_type  application/octet-stream;      log_format  main   '$remote_addr - $remote_user [$time_local] "$request" '                        '$status $body_bytes_sent "$http_referer" '                        '"$http_user_agent" "$http_x_forwarded_for"' ;      access_log  logs/access.log  main; ....

   tomcat下记录代理的客户端真实ip

nginx 配置:

1.Nginx新增配置： proxy_set_header  X-Real-IP  $remote_addr;  

tomcat配置:

1. <Valve className="org.apache.catalina.valves.AccessLogValve"  
2.                 directory="logs"  prefix="tomcat_access_log." suffix=".txt"  
3.                 pattern="%a %r %t %{X-Real_IP}i" resolveHosts="false"/>