Nginx 获取真实 IP 方案

问题根源：

基于七层的负载均衡系统，获取IP的原理都是通过XRI和XFF进行处理，从中选出“正常情况下”的源头IP，然而这两个Header都是普通的HTTP头，任何代理程序都可以轻易修改伪造它们，使得获取IP的逻辑失效。

解决依据：

TCP协议需要建立真实的网络链路，因此其信息可以认为是真实可靠难以伪造的。根据阿里SLB文档中获取真实IP的方法（https://help.aliyun.com/document_detail/slb/best-practice/get-real-ipaddress.html）得知，如果采用四层负载均衡，则SLB的后端系统可直接通过 remote address 获取到IP，如果采用七层负载均衡，后续系统需配合 http_realip_module 使用。

设置步骤：

1、在阿里SLB中将负载均衡模式设置为四层，并且打开获取真实IP的选项（默认打开）；

2、在SLB后端的转发 nginx 中使用 $remote_addr 参数填写 XRI 和 XFF；

3、在应用中即可可通过 XRI 或 XFF 获取真实 IP；

试验环境：

客户端：Chrome ＋ Postman

本地模拟：本地 nginx ＋ 测试环境 nginx ＋ 测试环境 app

四层负载均衡：阿里 SLB ＋ 测试环境 nginx ＋ 测试环境 app

七层负载均衡：阿里 SLB ＋ release nginx ＋ release app

试验步骤：

1、在测试环境 customer 应用中部署 test.jsp，内容为获取 request 信息；

2、双 nginx 模拟

2.1、在测试环境 nginx 中设置 XFF 规则如下：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

2.2、在本地 nginx 中设置负载均衡到测试环境 nginx 地址，XFF 规则同上；

2.3、使用 Postman 直接发送请求：

可以发现XFF的第一个IP是正确的地址（由于本试验中本地 nginx 是系统的一部分，所以127.0.0.1算正确IP）；

2.4、在请求中加入伪造的 XFF：

发现此时获取到的 XFF 已经被污染。

3、四层SLB测试

3.1、将测试环境 nginx 中的 XFF 规则设置为：

proxy_set_header X-Forwarded-For $remote_addr;

3.2、正常发送请求

发现获取了正确的 IP；

3.3、伪造 XFF 请求：

发现依然可以获取到正确的 IP；

4、七层SLB + http_realip_module 模块测试

4.1、将 release 环境 nginx 相关配置修改为（其中100.97.0.0/16为SLB所在网段）：

set_real_ip_from 100.97.0.0/16;

real_ip_header X-Forwarded-For;

real_ip_recursive on;

4.2、伪造XFF请求：

可以发现：HTTP头中多了一个 remoteip 的字段，其值始终为正确的客户 IP；同时，XFF 字段保留了所有代理链路信息（包括伪造的部分）。

试验总结：

1、无论哪种方案其实核心原理大同小异，都是利用四层TCP的连接信息获取实际IP参数，区别只在于：获取到的这个IP在何时、用何种方式传递到后面系统，以及后面系统如何接收该参数。

2、双 nginx 只是为了在可控环境模拟 HTTP IP 欺骗的原理；

3、四层 SLB 负载均衡方案思路是在整个系统入口（即SLB的四层处）覆盖掉原始的 XRI 或 XFF，在系统的后面部分便可充分信任这些参数；

4、七层 SLB 负载均衡方案思路是把系统入口处拿到的真实IP放在独立的 remoteip 参数中（当然如果需要也可在后续nginx中用该参数覆写 XRI 或 XFF，和上一个方案相同）；

参考资料：

阿里云SLB获取真实IP的配置方法：

https://help.aliyun.com/document_detail/slb/best-practice/get-real-ipaddress.html

http_realip_module官方文档：

http://nginx.org/en/docs/http/ngx_http_realip_module.html

http_realip_module实现代码：

https://github.com/nginx/nginx/blob/master/src/http/modules/ngx_http_realip_module.c

阿里SLB原理：

http://blog.aliyun.com/149

SLB官负载均衡配置：

https://help.aliyun.com/document_detail/slb/slb-use-guide/slb-listen-config.html

 

 

测试用页面代码：

<%@page contentType="text/html" pageEncoding="GBK"%>
<%@page import="java.util.*"%><!--使用Enumeration导入此包-->
<html>
<head>
    <title>接收全部请求参数的名称及对应的内容</title>
</head>
<body>
<%
    Enumeration enu=request.getHeaderNames();//取得全部头信息
    while(enu.hasMoreElements()){//以此取出头信息
        String headerName=(String)enu.nextElement();
        String headerValue=request.getHeader(headerName);//取出头信息内容
%>
        <h5><%=headerName%><font color="red">--></font>
        <font color="blue"><%=headerValue%></font></h5>
<%
    }
%>
</body>
</html>