在启用Web应用防火墙后,怎样获取访问者真实 IP

很多时候,网站访问并不是简单地从用户的浏览器直达服务器,中间可能部署有CDN、WAF、高防。例如,采用这样的架构:用户 > CDN/WAF/高防 > 源站服务器。那么,在经过多层加速后,服务器如何获取发起请求的真实客户端 IP 呢?

一个透明的代理服务器在把用户的请求转到下一环节的服务器时,会在HTTP的头中加入一条X-Forwarded-For记录,用来记录用户的真实IP,其形式为X-Forwarded-For:用户IP。如果中间经历了多个代理服务器,那么X-Forwarded-For会表现为以下形式:X-Forwarded-For:用户IP, 代理服务器1-IP, 代理服务器2-IP, 代理服务器3-IP, ……

因此,常见的应用服务器可以使用X-Forwarded-For的方式获取访问者真实IP。以下分别针对Nginx,IIS 6,IIS 7,Apache和Tomcat 服务器,介绍相应的X-Forwarded-For配置方案。

Nginx配置方案

1. 确认http_realip_module模块已安装

作为负载均衡,Nginx使用http_realip_module来获取真实IP。使用一键安装包安装的Nginx,默认没有安装该模块。您可以执行# nginx -V | grep http_realip_module命令查看该模块是否已安装。如果没有安装,则需要重新编译Nginx并加装该模块。

参考以下方法,安装 http_realip_module模块:
wget http://nginx.org/download/nginx-1.12.2.tar.gz
tar zxvf nginx-1.12.2.tar.gz
cd nginx-1.12.2
./configure --user=www --group=www --prefix=/alidata/server/nginx --with-http_stub_status_module --without-http-cache --with-http_ssl_module --with-http_realip_module
make
make install
kill -USR2 `cat /alidata/server/nginx/logs/nginx.pid`
kill -QUIT `cat /alidata/server/nginx/logs/ nginx.pid.oldbin`

2. 修改Nginx对应server的配置

打开 default.conf,在 location / {}中添加如下内容:
set_real_ip_from ip_range1;
set_real_ip_from ip_range2;
...
set_real_ip_from ip_rangex;
real_ip_header    X-Forwarded-For;

其中,ip_range1,2,...,x 指WAF的回源IP地址,需要分多条分别添加。

3. 修改日志记录格式 log_format

log_format一般在 nginx.conf中的http配置下。在 log_format中,将 x-forwarded-for字段加进去,替换掉原来的 remote-address,即修改为以下内容:
log_format  main  '$http_x_forwarded_for - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" ';

完成以上操作后,使用nginx -s reload命令重启Nginx,使配置生效。

IIS 6配置方案

您可以选择从IIS 6日志中获取来访者真实IP地址,但前提是您已安装插件F5XForwardedFor.dll

操作步骤
  1. 根据服务器的操作系统版本将x86\Release或者x64\Release目录下的F5XForwardedFor.dll拷贝到某个目录(假设为C:\ISAPIFilters),同时确保IIS进程对该目录有读取权限。
  2. 打开IIS管理器,找到当前开启的网站,在该网站上右键选择属性,打开属性页。
  3. 在属性页切换至ISAPI筛选器,单击添加
  4. 在添加窗口下,配置以下参数,并单击确定
    • 筛选器名称:F5XForwardedFor
    • 可执行文件:F5XForwardedFor.dll的完整路径,如本例中的C:\ISAPIFilters\F5XForwardedFor.dll
  5. 重启 IIS 服务器,等待配置生效。

IIS 7配置方案

您可以通过F5XForwardedFor模块来获取来访者真实IP地址,但前提是您已安装F5XForwardedFor 模块

操作步骤
  1. 根据服务器操作系统版本将x86\Release或者x64\Release目录下的F5XFFHttpModule.dllF5XFFHttpModule.ini拷贝到指定目录下(假设为C:\x_forwarded_for\x86C:\x_forwarded_for\x64),并确保IIS进程对该目录有读取权限。
  2. IIS服务器选项中,双击打开模块

  3. 选择配置本机模块

  4. 配置本机模块对话框中,单击注册,分别注册已下载的DLL文件。
    • 注册模块 x_forwarded_for_x86
      • 名称:x_forwarded_for_x86
      • 路径C:\x_forwarded_for\x86\F5XFFHttpModule.dll
    • 注册模块 x_forwarded_for_x64
      • 名称:x_forwarded_for_x64
      • 路径C:\x_forwarded_for\x64\F5XFFHttpModule.dll


  5. 注册完成后,勾选新注册的模块(x_forwarded_for_x86 和 x_forwarded_for_x64)并单击确定

  6. API 和CGI限制中,分别添加已注册的DLL,并将其限制改为允许

  7. 重启IIS服务器,等待配置生效。

Apache配置方案

  1. 使用以下代码,安装Apache的一个第三方模块mod_rpaf
    wget http://stderr.net/apache/rpaf/download/mod_rpaf-0.6.tar.gz
    tar zxvf mod_rpaf-0.6.tar.gz
    cd mod_rpaf-0.6
    /alidata/server/httpd/bin/apxs -i -c -n mod_rpaf-2.0.so mod_rpaf-2.0.c
  2. 修改Apache配置文件/alidata/server/httpd/conf/httpd.conf,在其末尾添加以下内容。
    LoadModule rpaf_module modules/mod_rpaf-2.0.so
    RPAFenable On
    RPAFsethostname On
    RPAFproxy_ips ip地址
    RPAFheader X-Forwarded-For

    其中,RPAFproxy_ips ip地址不是负载均衡提供的公网IP,具体IP可以参考Apache日志,通常会有2个。

  3. 添加完成后,使用以下命令重启Apache。
    /alidata/server/httpd/bin/apachectl restart
案例

LoadModule rpaf_module modules/mod_rpaf-2.0.so
RPAFenable On
RPAFsethostname On
RPAFproxy_ips 10.242.230.65 10.242.230.131
RPAFheader X-Forwarded-For

Tomcat配置方案

参照以下方法来开启Tomcat的X-Forwarded-For:

打开 tomcat/conf/server.xml,修改AccessLogValve日志纪录功能为如下内容。
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log." suffix=".txt"
pattern="%{X-FORWARDED-FOR}i %l %u %t %r %s %b %D %q %{User-Agent}i %T" resolveHosts="false"/>