閱讀835 返回首頁    go 敦煌網

獲取訪問者真實IP___常見接入問題_Web 應用防火牆-阿裏雲

使用“Web應用防火牆”後獲取訪問者真實IP配置指南

很多時候,網站並不是簡單的從用戶的瀏覽器直達服務器, 中間可能會加入CDN、WAF、高防。

變成如下的架構:

用戶 —–> CDN/WAF/高防 ——> 源站服務器

那麼,經過這麼多層加速,服務器如何才能得到發起請求的真實客戶端IP呢?

當一個透明代理服務器把用戶的請求轉到後麵服務器的時候,會在HTTP的頭中加入一個記錄:

X-Forwarded-For:用戶真實IP

如果中間經曆了不止一個代理服務器,那麼X-Forwarded-For可能會為以下的形式:

X-Forwarded-For:用戶IP, 代理服務器1-IP, 代理服務器2-IP, 代理服務器3-IP, ……

那麼如何獲取X-Forwarded-For的內容?

獲取來訪真實IP方法

常見應用服務器獲取來訪者真實IP的方法.

  • 使用X-Forwarded-For的方式獲取訪問者真實IP

以下針對常見的應用服務器配置方案進行介紹:

IIS 6 配置方案

通過IIS 6日誌中獲取來訪者真實IP地址的解決方案,首先需要安裝插件F5XForwardedFor.dll,下載地址

  1. 根據自己的服務器操作係統版本將x86Release或者x64Release目錄下的F5XForwardedFor.dll拷貝到某個目錄,這裏假設為C:ISAPIFilters,同時確保對IIS進程對該目錄有讀取權限。
  2. 打開IIS管理器,找到當前開啟的網站,在該網站上右鍵選擇“屬性”,打開屬性頁。
  3. 在屬性頁切換至“ISAPI篩選器”,點擊“添加”按鈕,出現添加窗口。
  4. 在添加窗口:“篩選器名稱”填寫“F5XForwardedFor”,“可執行文件”填寫F5XForwardedFor.dll的完整路徑,點擊確定。
  5. 重啟IIS服務器,等待配置生效。

IIS 7 配置方案

通過F5XForwardedFor模塊獲取來訪者真實IP地址的解決方案,首先需要下載與安裝插件F5XForwardedFor模塊,下載地址

  1. 根據自己的服務器操作係統版本將x86Release 或者x64Release目錄下的F5XFFHttpModule.dll和F5XFFHttpModule.ini拷貝到某個目錄,這裏假設為C:F5XForwardedFor,確保對IIS進程對該目錄有讀取權限。

  2. 選擇“IIS服務器”選項,按圖所示選擇“模塊”功能:

  3. 雙擊“模塊”功能,點擊“配置本機模塊”:

  4. 在彈出框中點擊“注冊”按鈕:

  5. 添加下載的DLL文件,如下圖:

  6. 添加完成後,勾選並點擊“確定”:

  7. 把這兩個DLL在 “API 和CGI限製”進行添加,並改為允許:

  8. 重啟IIS服務器,等待配置生效。

Apache配置方案

  1. 首先,安裝apache的一個第三方模塊“mod_rpaf”, 官方網站

    1.  wget https://stderr.net/apache/rpaf/download/mod_rpaf-0.6.tar.gz
    2.  tar zxvf mod_rpaf-0.6.tar.gz
    3.  cd mod_rpaf-0.6
    4.  /alidata/server/httpd/bin/apxs -i -c -n mod_rpaf-2.0.so mod_rpaf-2.0.c

  2. 修改apache配置/alidata/server/httpd/conf/httpd.conf,在最末尾添加:

    1.  LoadModule rpaf_module modules/mod_rpaf-2.0.so
    2.  RPAFenable On
    3.  RPAFsethostname On
    4.  RPAFproxy_ips ip地址
    5.  RPAFheader X-Forwarded-For

    //RPAFproxy_ips ip地址(這個ip地址首先不是負載均衡提供的公網ip,具體ip多少可以看一下apache日誌,通常會有2個 都要寫上)

  3. 添加完成後重啟apache

    1.  /alidata/server/httpd/bin/apachectl restart

  4. 具體案例

    1.  LoadModule rpaf_module modules/mod_rpaf-2.0.so
    2.  RPAFenable On
    3.  RPAFsethostname On
    4.  RPAFproxy_ips 10.242.230.65 10.242.230.131
    5.  RPAFheader X-Forwarded-For

Nginx配置方案

  1. Nginx作為負載均衡獲取真實ip是使用http_realip_module,默認一鍵安裝包安裝的Nginx是沒有安裝這個模塊的,需要重新重新編譯Nginx並加裝:

    重新編譯Nginx增加 —with-http_realip_module

    1.  wget https://soft.phpwind.me/top/nginx-1.0.12.tar.gz
    2.  tar zxvf nginx-1.0.12.tar.gz
    3.  cd nginx-1.0.12
    4.  ./configure --user=www --group=www --prefix=/alidata/server/nginx --with-http_stub_status_module --without-http-cache --with-http_ssl_module --with-http_realip_module
    5.  make
    6.  make install
    7.  kill -USR2 `cat /alidata/server/nginx/logs/nginx.pid`
    8.  kill -QUIT `cat /alidata/server/nginx/logs/ nginx.pid.oldbin`

  2. 修改nginx.conf

    1.  vi /alidata/server/nginx/conf/nginx.conf

    1.  fastcgi connect_timeout 300;
    2.  fastcgi send_timeout 300;
    3.  fastcgi read_timeout 300;
    4.  fastcgi buffer_size 64k;
    5.  fastcgi buffers 4 64k;
    6.  fastcgi busy_buffers_size 128k;
    7.  fastcgi temp_file_write_size 128k;

    下麵增加

    1.  set_real_ip_from ip地址;(這個ip地址首先不是負載均衡提供的公網ip,具體ip多少可以看一下之前nginx日誌,如果有多個都要寫上。)
    2.  set_real_ip_from ip地址;(這個ip地址首先不是負載均衡提供的公網ip,具體ip多少可以看一下之前nginx日誌,如果有多個都要寫上。)
    3.  real_ip_header X-Forwarded-For;

  3. 重啟Nnginx

    1.  /alidata/server/nginx/sbin/nginx -s reload

Tomcat配置方案

開啟tomcat的X-Forwarded-For,在tomcat/conf/server.xml中,修改AccessLogValve日誌紀錄功能為如下內容:

  1. <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
  2. prefix="localhost_access_log." suffix=".txt"
  3. pattern="%{X-FORWARDED-FOR}i %l %u %t %r %s %b %D %q %{User-Agent}i %T" resolveHosts="false"/>

最後更新:2016-12-01 22:33:24

  上一篇:go 源站保護__常見接入問題_Web 應用防火牆-阿裏雲
  下一篇:go WAF源站負載均衡__常見接入問題_Web 應用防火牆-阿裏雲