当前位置：首页 > wzjs >正文

珠海做网站那家好百度网站流量统计

wzjs 2025/8/10 19:41:45

珠海做网站那家好,百度网站流量统计,中信建设有限责任公司山东分公司,ueeshop和wordpress一、使用场景日志记录记录真实客户端 IP 而非反向代理的 IP，有助于流量分析和安全审计。访问控制基于真实 IP 实现防火墙规则（allow/deny）或限流，而非误将上游 IP 视为客户端。GeoIP、WAF、限速等功能模块化的上游真实 IP 支…

一、使用场景

日志记录
记录真实客户端 IP 而非反向代理的 IP，有助于流量分析和安全审计。
访问控制
基于真实 IP 实现防火墙规则（allow/deny）或限流，而非误将上游 IP 视为客户端。
GeoIP、WAF、限速等功能
模块化的上游真实 IP 支持与诸如 ngx_http_geoip_module、limit_req、WAF 插件等配合使用。

二、示例配置

http {# 信任的上游地址列表（CIDR、单 IP 或 unix 域 socket）set_real_ip_from  192.168.1.0/24;set_real_ip_from  10.0.0.0/8;set_real_ip_from  unix:;# 指定从哪个请求头获取真实地址# 常见的有：X-Real-IP、X-Forwarded-For、proxy_protocolreal_ip_header    X-Forwarded-For;# 开启递归模式时，将跳过链中信任的上游，选取第一个非信任地址real_ip_recursive on;server {listen 80;location / {# 此时 $remote_addr 是真实客户端 IPproxy_pass http://backend;}}
}

三、指令详解

1. set_real_ip_from

Syntax:   set_real_ip_from address | CIDR | unix:;
Default:  —;
Context:  http, server, location

address | CIDR：IPv4/IPv6 网络或单地址，如 192.168.2.1、2001:db8::/32。
unix:：信任所有 UNIX 域套接字连接。
用途：指定哪些上游代理地址可信，只有来自这些源的请求头中携带的 IP 才会被视为真实客户端。

注意

支持主机名（1.13.1 起），解析后再进行匹配。
IPv6 支持自 1.2.1/1.3.0 起。

2. real_ip_header

Syntax:   real_ip_header field | X-Real-IP | X-Forwarded-For | proxy_protocol;
Default:  real_ip_header X-Real-IP;
Context:  http, server, location

field：HTTP 请求头名，常见有 X-Real-IP 或 X-Forwarded-For。
proxy_protocol：从 PROXY 协议头部获取地址，需先在 listen 中启用 proxy_protocol。
端口替换：若头部中同时包含 IP:PORT，则还可替换 $remote_port。

3. real_ip_recursive

Syntax:   real_ip_recursive on | off;
Default:  real_ip_recursive off;
Context:  http, server, location

off（默认）：取请求头最末尾（最后一个）IP，只要发现第一个可信代理，即替换为该代理后面的 IP。
on：递归查找，跳过所有可信代理，取第一个非信任地址，适用于多级反代场景。

四、内置变量

变量	含义
`$realip_remote_addr`	原始客户端 IP（被替换前的 `$remote_addr`）
`$realip_remote_port`	原始客户端端口（被替换前的 `$remote_port`）

这些变量可用于日志或者后续条件判断，方便同时保留“原始代理IP”与“替换后真实IP”。

五、处理流程

接收请求
Nginx 监听到请求，初始 $remote_addr 为 TCP 连接的对端地址。
匹配可信源
检查该地址是否在任一 set_real_ip_from 列表中。
提取头部值
读取 real_ip_header 指定的头部字段，按逗号拆分（若是 X-Forwarded-For，可能包含多级 IP）。
选取 IP
- real_ip_recursive off：取列表末尾（最后一个）IP；
- real_ip_recursive on：倒序遍历，跳过可信源，取第一个非信任 IP。
替换地址
更新 $remote_addr（及可选 $remote_port），并记录旧值至 $realip_remote_addr。
继续其它模块处理
后续日志、WAF、限速等模块均以新的 $remote_addr 为准。

六、常见注意事项

安全性
仅信任可信网络或反向代理，避免客户端伪造 X-Forwarded-For 欺骗源 IP。
多级代理
开启 real_ip_recursive on 以正确获取最初客户端 IP；否则仅能获取到第一级代理前的 IP。
PROXY 协议
使用 proxy_protocol 时，需要在 listen ... proxy_protocol; 中启用，并由上游（如 LVS、HAProxy）发送 PROXY 首部。
端口保留
若需要真实端口信息，可在头部中附加 <ip>:<port> 格式，并确保 Nginx 版本 ≥1.11.0。