Início / server / Perguntas / 947835
Accepted
Daniel Compton
Asked: 2019-01-07 16:03:18 +0800 CST

Usando o Nginx real_ip quando você não conhece os endereços IP do proxy intermediário

  • 772

O módulo real_ip do Nginx permite que você defina a $remote_addrvariável com base nos valores enviados em campos de cabeçalho específicos. Ele tem uma compreensão especial do X-Forwarded-Forcabeçalho e é capaz de usar o valor não confiável mais à direita no cabeçalho como o endereço IP de conexão.

Eu gostaria de usar o módulo real_ip para definir $remote_addro endereço IP de conexão. O problema que eu tenho é que eu sei quantos saltos de volta do final X-Forwarded-Forpara olhar, mas não o endereço IP dos proxies no meio. Pelo que entendi, isso significa que não posso usar set_real_ip_frompara especificar o endereço IP do proxy.

O que eu gostaria de poder fazer é configurar o nginx para escolher o penúltimo endereço da lista como o $remote_addr. Parece que o módulo real_ip só funciona se você tiver uma infraestrutura onde você conheça os endereços IP dos seus proxies.

Existe uma maneira de fazer isso com o módulo real_ip? Eu trabalhei em uma solução baseada em regex, mas prefiro usar o módulo real_ip se for possível.

Eu não acho que isso seja um engano do nginx real_ip_header e X-Forwarded-For parece errado ou perguntas semelhantes. Para reafirmar a questão:

  • Eu sei quantos saltos a partir do final o endereço IP de conexão será.
  • Não conheço os endereços IP confiáveis ​​para proxies intermediários entre o IP de conexão e meu servidor, então não posso usar set_real_ip_from.

Mais detalhes sobre as especificidades:

Estou executando o nginx dentro do Google Cloud, por trás do balanceador de carga HTTP do Google Cloud. O Google Cloud usa o X-Forwarded-Forcabeçalho para indicar o ponto de entrada para a rede do Google Cloud. Eu sei que o penúltimo valor da X-Forwarded-Forlista é o que eu quero, mas não sei qual será o endereço IP do último valor (o proxy). Mesmo se eu pudesse enumerar todo o espaço de endereço do Google Cloud para proxies (não está especificado que o GCLB opera apenas dentro do espaço de endereço do GCP), isso o abriria para qualquer outro usuário que pudesse obter um servidor dentro desse espaço de endereço.

nginx

2 respostas

  1. Best Answer

    Acabei usando uma versão baseada em regex. Da minha configuração do nginx:

    http {
    # Regexes are:
    # (?<connecting_ip>\d+\.\d+\.\d+\.\d+), (?<proxy_ip>\d+\.\d+\.\d+\.\d+)$ # IPv4 only
    # (?<connecting_ip_x>[0-9a-f:.]+),\s*(?<proxy_ip>[0-9a-f:.]+)$ # IPv6 and IPv4, and more robust
    #
    # The last IP address is the one from the GCP front end load balancer
    # The second to last IP address in the list is the connecting IP address (i.e. user IP address)
    # We capture both of them. X-Forwarded-For is separated by commas, hopefully whitespace as well
    # but we don't want to trust that too much.
    #
    # Note that ~ at the start of the string in Nginx marks it as a regex. It's not part
    # of the regex.
    #
    # Test cases for regex101
    # 1.1.1.1, 2.2.2.2
    # 1.1.1.1, 2.2.2.2, 3.3.3.3
    # 1.1.1.1
    # ::ffff:130.211.1.102, 2.2.2.2
    # 2001:0db8:85a3:0000:0000:8a2e:0370:7334, 2.2.2.2
    # 2001:41d0:8:e8ad::1, 2600:1901:0:2ad2::
    # 1.1.1.1,2.2.2.2,3.3.3.3
    #
    # It would be better to use the real_ip module, if that is possible
    # https://serverfault.com/q/947835/334330 might get answered for this.


    # Get the IP address of the connecting IP. If we get a direct connection from
    # GCP's health checkers, there won't be an X-Forwarded-For header. We shouldn't
    # be getting any direct connections from other sources without XFF header.
    map $http_x_forwarded_for $connecting_ip {
        # Capture the proxy IP and connecting_ip_x, then assign the connecting_ip_x
        "~(?<connecting_ip_x>[0-9a-f:.]+),\s*(?<proxy_ip>[0-9a-f:.]+)$" $connecting_ip_x;
        default               $remote_addr;
    }
  # ...
}

    e então eu uso $connecting_ip na minha definição de servidor:

    server {
  # ...
  location / {
    proxy_set_header X-Real-IP $connecting_ip;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header Host $http_host;
    proxy_set_header X-Forwarded-Host "";
    proxy_redirect off;
    proxy_next_upstream error;
  }
}
    • 1

  2. Isso não pode ser feito com o ngx_http_realip_modulepróprio, dado que, conforme especificado na descriçãoreal_ip_recursive de , apenas o último endereço no campo de cabeçalho (ou seja, seus GFEs, quando definido como ) ou o último endereço não confiável (ou seja, o endereço do cliente, quando set to ) será correspondido para replace , portanto, mesmo que você tenha obtido o endereço do proxy anterior com manipulação de string e definido para ele, o módulo não mudaria .offon$remote_addr$http_x_forwarded_for$set_real_ip_from$remote_addr

    Portanto, parece que você terá que recorrer a $remote_addrse redefinir manualmente com uma expressão regular como mencionou ou usar outro módulo.

    Com isso dito, pode valer a pena notar que o endereço GFE do seu Load Balancer deve sempre corresponder ao 35.191.0.0/16ou 130.211.0.0/22 CIDRs .

    • 0

relate perguntas