怎樣正確設置remote_addr和x_forwarded_for獲取用戶真實IP

作網站時常常會用到remote_addr和x_forwarded_for這兩個頭信息來獲取客戶端的IP，然而當有反向代理或者CDN的狀況下，這兩個值就不夠準確了，須要調整一些配置。

什麼是remote_addr

remote_addr表明客戶端的IP，但它的值不是由客戶端提供的，而是服務端根據客戶端的ip指定的，當你的瀏覽器訪問某個網站時，假設中間沒有任何代理，那麼網站的web服務器（Nginx，Apache等）就會把remote_addr設爲你的機器IP，若是你用了某個代理，那麼你的瀏覽器會先訪問這個代理，而後再由這個代理轉發到網站，這樣web服務器就會把remote_addr設爲這臺代理機器的IP。

什麼是x_forwarded_for

正如上面所述，當你使用了代理時，web服務器就不知道你的真實IP了，爲了不這個狀況，代理服務器一般會增長一個叫作x_forwarded_for的頭信息，把鏈接它的客戶端IP（即你的上網機器IP）加到這個頭信息裏，這樣就能保證網站的web服務器能獲取到真實IP

使用HAProxy作反向代理

一般網站爲了支撐更大的訪問量，會增長不少web服務器，並在這些服務器前面增長一個反向代理（如HAProxy），它能夠把負載均勻的分佈到這些機器上。你的瀏覽器訪問的首先是這臺反向代理，它再把你的請求轉發到後面的web服務器，這就使得web服務器會把remote_addr設爲這臺反向代理的IP，爲了能讓你的程序獲取到真實的客戶端IP，你須要給HAProxy增長如下配置

option forwardfor

它的做用就像上面說的，增長一個x_forwarded_for的頭信息，把你上網機器的ip添加進去

使用Nginx的realip模塊

當Nginx處在HAProxy後面時，就會把remote_addr設爲HAProxy的IP，這個值實際上是毫無心義的，你能夠經過nginx的realip模塊，讓它使用x_forwarded_for裏的值。使用這個模塊須要從新編譯Nginx，增長--with-http_realip_module參數

set_real_ip_from   10.1.10.0/24;
real_ip_header     X-Forwarded-For;

上面的配置就是把從10.1.10這一網段過來的請求所有使用X-Forwarded-For裏的頭信息做爲remote_addr

將Nginx架在HAProxy前面作HTTPS代理

網站爲了安全考慮一般會使用https鏈接來傳輸敏感信息，https使用了ssl加密，HAProxy無法直接解析，因此要在HAProxy前面先架臺Nginx解密，再轉發到HAProxy作負載均衡。這樣在Web服務器前面就存在了兩個代理，爲了能讓它獲取到真實的客戶端IP，須要作如下配置。

首先要在Nginx的代理規則裏設定

proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;

這樣會讓Nginx的https代理增長x_forwarded_for頭信息，保存客戶的真實IP。

其次修改HAProxy的配置

option     forwardfor except 10.1.10.0/24

這個配置和以前設定的差很少，只是多了個內網的IP段，表示若是HAProxy收到的請求是由內網傳過來的話（https代理機器），就不會設定x_forwarded_for的值，保證後面的web服務器拿到的就是前面https代理傳過來的。

爲何PHP裏的HTTP_X_FORWARDED_FOR和Nginx的不同

當你的網站使用了CDN後，用戶會先訪問CDN，若是CDN沒有緩存，則回源站（即你的反向代理）取數據。CDN在回源站時，會先添加x_forwarded_for頭信息，保存用戶的真實IP，而你的反向代理也會設定這個值，不過它不會覆蓋，而是把CDN服務器的IP（即當前remote_addr）添加到x_forwarded_for的後面，這樣x_forwarded_for裏就會存在兩個值。Nginx會使用這些值裏的第一個，即客戶的真實IP，而PHP則會使用第二個，即CDN的地址。爲了能讓PHP也使用第一個值，你須要添加如下fastcgi的配置。

fastcgi_param HTTP_X_FORWARDED_FOR $http_x_forwarded_for;

它會把nginx使用的值（即第一個IP）傳給PHP，這樣PHP拿到的x_forwarded_for裏其實就只有一個值了，也就不會用第二個CDN的IP了。

忽略x_forwarded_for

其實，當你使用了Nginx的realip模塊後，就已經保證了remote_addr裏設定的就是客戶端的真實IP，再看下這個配置

set_real_ip_from   10.1.10.0/24;
real_ip_header     X-Forwarded-For;

它就是把x_forwarded_for設爲remote_addr，而nginx裏的x_forwarded_for取的就是其中第一個IP。

使用這些設置就能保證你的remote_addr裏設定的一直都是客戶端的真實IP，而x_forwarded_for則能夠忽略了:)