Nginx多层代理获取真实客户端IP

Nginx是一般的应用最常用的web服务器，通常使用nginx来做一些反向代理，并且Nginx还可能是多层的。如果想在内部服务里面获取最原始的客户端IP地址，即访问用户的真实Ip地址。则需要做一些简单的配置。

最外层Nginx配置

为了防止X-Forwarded-For头的伪造，可在最外层Nginx将X-Forwarded-For设置为真实IP$remote_addr。 $remote_addr是获取的是直接TCP连接的客户端IP（类似于Java中的request.getRemoteAddr()），这个是无法伪造的，即使客户端伪造也会被覆盖掉，而不是追加。

upstream nginxservice {
        server 192.168.4.175:8011;
        server 192.168.4.176:8012;
    }
    server {
        listen    9018;
        server_name  192.168.4.8000;
        root         /usr/share/nginx/html;
        include /etc/nginx/default.d/*.conf;
        location / {
            proxy_pass http://nginxservice;
            proxy_set_header Host $host:$server_port; #远程主机 IP:PORT
            proxy_set_header X-Real-PORT $remote_port; #远程端口
            proxy_set_header X-Real-IP $remote_addr; #远程地址
　　　　　　　proxy_set_header REMOTE-HOST $remote_addr; #远程主机，远程地址
　　　　　　  proxy_set_header X-Forwarded-For $remote_addr; #远程真实地址

        }
    }

 

后续Nginx配置

后续的Nginx配置都是一样的，这里就简单列举一个即可

upstream nginxservice {
        server 192.168.4.175:8010;
        server 192.168.4.176:8011;
    }
    server {
        listen    9018;

        location / {
            proxy_pass http://nginxservice ;
            proxy_set_header Host $host:$server_port; #远程主机 IP:PORT
            proxy_set_header X-Real-PORT $remote_port; #远程端口
            proxy_set_header X-Real-IP $remote_addr; #真实IP，远程地址
　　　　　　  proxy_set_header REMOTE-HOST $remote_addr; #远程主机，远程地址
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; #远程代理地址

        }
    }

 

Java获取真实IP

/**
 * description 客户端信息获取过滤器
 */
public class ClientHostFilter extends Filter {
 
    /** Nginx默认增加的IP地址头 */
    public static final String HEADER_X_FORWARDED_FOR = "X-Forwarded-For";
 
    /** 内部微服务之间调用增加的IP地址头 */
    public static final String HEADER_X_REMOTE_USER_IP = "X-Remote-User-IP";
 
    /** IP响应头的分割符号 */
    private static final String IP_HEADER_DELIMITER = ",";
 
    @Override
    protected void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws ServletException, IOException {
　　　   HttpServletRequest req = (HttpServletRequest) request;
        String remoteUserIP = getRemoteUserIP(request);
        filterChain.doFilter(request, response);
    }
 
    private String getRemoteUserIP(HttpServletRequest request) {
        String xForwardedHeader = request.getHeader(HEADER_X_FORWARDED_FOR);
        // 先尝试从X-Forwarded-For获取
        if (xForwardedHeader != null && xForwardedHeader.trim().length() > 0) {
            String[] ips = xForwardedHeader.split(IP_HEADER_DELIMITER);
            return ips[0].trim();
        } else {
            // 尝试从内部自定义头上获取
            String internalIPHeader = request.getHeader(HEADER_X_REMOTE_USER_IP);
            if (null != internalIPHeader && internalIPHeader.trim().length() > 0) {
                return internalIPHeader.trim();
            } else {
                return null;
            }
        }
    }
}

 

执行请求，使用Idea评估获取的Ip,从图中已经可以看出存在两个Ip地址了

 

 

原理是在服务往后面传递的时候，定义一个自定义头，将真实IP放到这个header中。 后台服务可取两个IP地址

• request.getRemoteAddr() - 获取调用方服务的内网IP地址
• getRemoteUserIP - 获取最源头的真实客户端IP地址