Nginx

日志的格式

Nginx中常用日志格式配置如下:

  1. log_format main '$remote_addr - $remote_user [$time_local] "$request" '
  2. '$status $body_bytes_sent "$http_referer" '
  3. '"$http_user_agent" "$http_x_forwarded_for"';
  4. access_log /var/log/nginx/access.log main;

其中的main为日志格式的别名,在使用的时候直接使用别名即可。
例子:

  1. 10.0.3.137 - - [09/Oct/2020:09:41:02 +0800] "GET / HTTP/1.0" 304 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" "10.1.9.98"

Nginx 多级代理下获取客户端真实IP地址 - 图1
日积月累下,日志文件会越来越大,日志文件太大严重影响服务器效率,所以需要定时对日志文件进行切割。
由于这里是演示,所以切割方式是按分钟来切割,正常生产上使用一般是按天来进行分割:

  1. #!/bin/bash
  2. #日志文件存放目录
  3. LOGS_PATH=/usr/local/nginx/logs
  4. #备份文件名称
  5. YESTERDAY=$(date -d "yesterday" +%Y%m%d%H%M)
  6. #重命名日志文件
  7. mv ${LOGS_PATH}/access.log ${LOGS_PATH}/access_${YESTERDAY}.log
  8. mv ${LOGS_PATH}/error.log ${LOGS_PATH}/error_${YESTERDAY}.log
  9. ## 向 Nginx 主进程发送 USR1 信号。USR1 信号是重新打开日志文件
  10. kill -USR1 $(cat /usr/local/nginx/logs/nginx.pid)

然后添加定时任务:

  1. # crontab -e
  2. */1 * * * * /bin/bash /usr/local/nginx/logs/nginx_log.sh

获取客户端真实IP

服务器资源分配情况如下:

  • 10.1.9.98:充当客户端
  • 10.0.3.137:一级代理
  • 10.0.4.105:二级代理
  • 10.0.4.129:三级代理
  • 10.0.4.120:服务器端,为了方便,这里使用一个Nginx充当服务器端,正常情况下一般是一个web服务器,如tomcat。

各个服务初始配置如下:
10.0.3.137的配置:

  1. worker_processes 1;
  2. events {
  3. worker_connections 1024;
  4. }
  5. http {
  6. include mime.types;
  7. default_type application/octet-stream;
  8. log_format main '$remote_addr - $http_x_forwarded_for - $http_x_real_ip';
  9. access_log logs/access.log main;
  10. server {
  11. listen 80;
  12. location / {
  13. # proxy_set_header X-Real-IP $remote_addr;
  14. # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  15. proxy_pass http://10.0.4.105;
  16. }
  17. }
  18. }

0.0.4.105的配置,其他配置与10.0.3.137的一致:

  1. ...
  2. location / {
  3. # proxy_set_header X-Real-IP $remote_addr;
  4. # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  5. proxy_pass http://10.0.4.129;
  6. }
  7. ...

10.0.4.129的配置,其他配置与10.0.3.137的一致:

  1. ...
  2. location / {
  3. # proxy_set_header X-Real-IP $remote_addr;
  4. # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  5. proxy_pass http://10.0.4.120;
  6. }
  7. ...

10.0.4.120的配置,其他配置与10.0.3.137的一致

  1. ...
  2. location / {
  3. root html;
  4. index index.html;
  5. }
  6. ...

下面的记录为access.log中打印的结果:
Nginx 多级代理下获取客户端真实IP地址 - 图2

总结:
  • X-Forwarded-For是一个追加的过程,后面的代理会把前面代理的IP追加到X-Forwarded-For尾部,用逗号进行分隔。
  • 应用服务器(10.0.4.120)无法从X-Forwarded-For中获取到与它直连的代理服务器的IP(10.0.4.129),此时可以使用远程ip(表示直连的那台代理),当服务器无法过http_x_forwarded_for获得上级代理或者客户端的ip时(可能没有经过代理),应该使用$remote_addr
  • 在代理过程中至少有一个代理设置了X-Forwarded-For,否则后面的代理或者应用服务器无法获得相关信息。
  • X-Forwarded-For中虽然包含了真实的客户端IP,一般是第一个IP,但是如果客户端伪造了请求头,那么真实的客户端IP就不是第一个了。
  • HTTP中header里面的X-Real-IP只是一个变量,后面的设置会覆盖前面的设置,所以只需要在第一个代理服务器上设置proxy_set_header X-Real-IP $remote_addr即可,然后在应用端直接引用$http_x_real_ip就行。

在Java中,如果请求没有经过Nginx代理,可以使用如下方法获取客户端的真实IP:

  1. # 类似nginx中的$remote_addr
  2. request.getRemoteHost();

如果请求经过了Nginx代理,可以从请求头中获取(前提是必须正确配置Nginx才能获取到):

  1. request.getHeader("x-real-ip");

如果是用的其他Apache,Squid等反向代理软件,同样是从请求头中获取真实IP,只是属性名不一样而已。