|
一.使用CDN自定义IP头来获取 假如说你的CDN厂商使用nginx,那么在nginx上将$remote_addr赋值给你指定的头,方法如下: | proxy_set_header remote-user-ip $remote_addr;. K o& ?, I0 x6 ]
9 U" l( F1 a) H9 k" P/ a |
//如上,后端将会收到remote_user_ip的http头,有些人可能会挑错了,说我设置的头不是remote-user-ip吗,4 a2 [* T* u. o- M
怎么写成了remote_user_ip,是不是作者写错了.请参考文章:<nginx反向代理proxy_set_header自定义header头无效> 后端PHP代码getRemoteUserIP.php 1
3 I4 i* j2 U; l7 w6 D: V2 ' g/ S9 m5 G- b- s
3
$ K2 H1 \8 |! y* o3 ~ A4 2 @& S3 s8 n* M3 Z/ C% G6 U) l
| <?php
4 D# K9 n% B4 W4 q% n* k $ip = getenv("HTTP_REMOTE_USER_IP");& M* \. v! h0 ~3 q6 ]
echo $ip; # e8 h% t& M. S
?>
. n$ i$ j" E7 U" K5 S/ u# H; \5 {% d
| 9 k/ L5 {* l% X! n' V
访问getRemoteUserIP.php,结果如下:
! o: {$ U0 l9 A. Y9 V) R4 W 120.22.11.11 //取到了真实的用户IP,如果CDN能给定义这个头的话,那这个方法最佳
. q- y- V; m/ w, W9 |+ E1 j L& V/ @) e
! Q- o W4 m$ B& Y Q z6 L- g6 U二.通过HTTP_X_FORWARDED_FOR获取IP地址 一般情况下CDN服务器都会传送HTTP_X_FORWARDED_FOR头,这是一个ip串,后端的真实服务器获取HTTP_X_FORWARDED_FOR头,截取字符串第一个不为unkown的IP作为用户真实IP地址, 例如: 120.22.11.11,61.22.22.22,121.207.33.33,192.168.50.121(用户IP,CDN前端IP,CDN中转,公司NGINX代理) 1 ! P+ _$ X: J- F
2
0 E4 }. U; p' y3 s3 U8 [+ X6 Q) D' v
4 0 C& N6 N0 I* Q9 X2 W4 S* u7 |& R
5 8 x# i2 v2 j, M, U, z' l- r
| getFor.php
2 O+ ~! C% Z4 r; ?, h+ M0 U<?php' y9 B9 ^, c% c* e
$ip = getenv("HTTP_X_FORWARDED_FOR");
4 T8 h M' b- E. u# |* c% @# i' o m echo $ip;& E- M' l0 S" Q. |+ m# P2 D
?>
7 m7 N. C" J5 J, h, h6 H3 l
0 I9 A( g8 _0 h- |$ \* k: S# _ | 4 w, t1 B+ t& F* ?
访问getFor.php结果如下:120.22.11.11,61.22.22.22,121.207.33.33,192.168.50.121 如果你是php程序员,你获取第一个不为unknow的ip地址,这边就是120.22.11.11. - _/ y* M% e$ s6 C9 H% B
, Y9 I: v q' _: n 三.使用nginx自带模块realip获取用户IP地址& W N( d3 O* r4 g Z
安装nginx之时加上realip模块,我的参数如下: ./configure –prefix=/usr/local/nginx-1.4.1 –with-http_realip_module2 G7 \) W* O o" }& f
5 _8 J, g/ ]' n* d% y3 X; K真实服务器nginx配置 1 L2 r2 d4 C- p
2 . f* p: U1 \6 ] [0 c. `
3 8 K1 o( S% f: Y" G5 b' Y/ L
4 " {+ n+ q; g. w& C" Q4 ?# N/ t9 F
5
% N1 u# {( u+ ?% [4 J0 U/ L6
% J2 U, m) C& x! G3 [7 8 m( v( ?* t. P( X/ j+ Y& m! M
8
1 E0 e6 p' v8 V: s9
4 w( U% D- J$ k) k/ J10
9 r! V6 R# H L! p' }: V0 c11 * {% e$ [2 H0 c/ @2 }
12
, }$ v* P3 a g8 m13 / {; q& F7 R/ X4 g; v! J c
14 ' Q4 D9 q( \/ a* [3 p, P: G
15
* d& R! h! W+ b16
/ n# Q$ C/ z' d/ H7 M g17 9 v9 G0 I6 @- F5 C5 W
18
8 N5 g, A2 _7 b# i19 . L$ a6 K& H) D% @! Y
20
! i& p1 H6 B4 S21
7 g* o$ m/ i/ s) Q# ^22
2 c- g. P* P" k5 z# \23 + L% u0 J: I& ] ~: e% L" D! @
24
1 e' T( \* T+ Q+ A& ^# ?6 d25
. \# {1 _; w& `6 z0 {( J26 + M, k0 A! U8 m3 _
27 - U' t% K7 P" U* {8 `. N! Y
28
. x3 U! q4 Q5 J7 B ~29 ' a6 w& ~+ O4 p/ [
30
5 c. c$ I2 Q; r3 ?2 s) ~8 {8 k% Z31 8 M% {5 b8 g3 {# B
| server { : m, s$ I5 {4 U
listen 80;
+ f# Z( {& w+ d server_name www.ttlsa.com; 5 \0 n, N5 y5 J7 Y( ]6 d$ a
access_log /data/logs/nginx/www.ttlsa.com.access.log main; & j5 E5 X& x( w; O* F
( p; o6 X+ k: ~) S) Q6 ~8 Y! t5 G& m index index.php index.html index.html; 6 R# G0 [5 Q/ x
root /data/site/www.ttlsa.com; . K1 R8 B. P- s$ H( z5 Z
6 Z: |6 i1 {: _& f, y$ ?" E location /
6 R" |( y; I2 e3 K {
5 R8 L1 M/ ?' h root /data/site/www.ttlsa.com; ) v; \5 K" x; t1 ?' P, B
} ) T7 p; R% J2 N( W. A U
location = /getRealip.php 1 G) D, `$ m+ F1 `" L) R
{ 0 M5 h3 }) G) v, s$ E0 h
set_real_ip_from 192.168.50.0/24; 8 @6 [' j: y7 n8 @
set_real_ip_from 61.22.22.22;
" s/ o7 ?0 F$ K9 H2 l set_real_ip_from 121.207.33.33;
3 \" I" V+ ^* q' X/ u8 B set_real_ip_from 127.0.0.1; ( ]% V9 l+ h! L E, X3 Y* E K
real_ip_header X-Forwarded-For;
% D& I f; `* n: p; \" g real_ip_recursive on;
* h. ^" b5 V! l9 N6 l6 D fastcgi_pass unix:/var/run/phpfpm.sock; # L3 ?8 i5 G; v4 O6 F
fastcgi_index index.php;
* x# g) j; X- Y3 n2 u4 g include fastcgi.conf;
* W: J K( Z4 J( y- S }
* I3 w2 Z- m' {. U; M+ }) { } $ F6 `" d! m1 F0 r5 I1 t
0 o. S: D* h- Y) J) _getRealip.php内容 - ?5 X3 M4 [: {7 n
<?php 5 M7 g" [$ O2 M
$ip = $_SERVER['REMOTE_ADDR']; ( h0 ?. e) N9 e9 H9 G" y
echo $ip;
+ P/ H3 h- G. W. X" y2 Q ?>
$ H$ p* z* M- o* c- f
6 V+ y5 e& y4 T+ B8 F |
很不幸,获取到了中继的IP,real_ip_recursive的效果看明白了吧. set_real_ip_from:真实服务器上一级代理的IP地址或者IP段,可以写多行* y D* `6 j) D
real_ip_header:从哪个header头检索出要的IP地址; a3 \4 a) Z+ q. S" Q; j9 [. g
real_ip_recursive:递归排除IP地址,ip串从右到左开始排除set_real_ip_from里面出现的IP,如果出现了未出现这些ip段的IP,那么这个IP将被认为是用户的IP。例如我这边的例子,真实服务器获取到的IP地址串如下:
* }6 L4 Q# j- {120.22.11.11,61.22.22.22,121.207.33.33,192.168.50.121; u5 P" c2 s" z6 Z$ ]) P: D
在real_ip_recursive on的情况下
6 O6 T! `: @& ^61.22.22.22,121.207.33.33,192.168.50.121都出现在set_real_ip_from中,仅仅120.22.11.11没出现,那么他就被认为是用户的ip地址,并且赋值到remote_addr变量 在real_ip_recursive off或者不设置的情况下
" I. B% @: c# n2 t192.168.50.121出现在set_real_ip_from中,排除掉,接下来的ip地址便认为是用户的ip地址 如果仅仅如下配置: set_real_ip_from 192.168.50.0/24; set_real_ip_from 127.0.0.1; real_ip_header X-Forwarded-For; real_ip_recursive on;
# T# a. V9 [, \$ v4 [访问结果如下: 121.207.33.33
8 S+ U+ b- J' G; h+ j( U! { % G# W8 K( ~" ^! v. ^" Z
四.三种在CDN环境下获取用户IP方法总结1 C) s8 W7 k5 L" B
4.1 CDN自定义header头
( w6 M- ^4 ^, V. `优点:获取到最真实的用户IP地址,用户绝对不可能伪装IP9 K y8 R& J. p# P2 y* k$ s4 C+ @
缺点:需要CDN厂商提供 5 W( v$ O& Z% Z0 F5 C' M
4.2 获取forwarded-for头' Y8 X/ r: v: i, `) _$ Z
优点:可以获取到用户的IP地址
* i$ F0 l! Z5 q缺点:程序需要改动,以及用户IP有可能是伪装的
1 A3 j' G- S% y) ?" e. C
4.3 使用realip获取
2 U0 [/ S6 g6 K& J& X2 O优点:程序不需要改动,直接使用remote_addr即可获取IP地址, e& B- C8 Y- E) e! F+ ?% K0 v. e
缺点:ip地址有可能被伪装,而且需要知道所有CDN节点的ip地址或者ip段 % ?8 b) J& H/ V( t
|