Nginx の realip モジュールの使い方の基礎学習

序文

nginx モジュールには、公式とサードパーティの 2 種類があります。nginx のインストール情報を表示するには、コマンド nginx -V を使用し、--with nginx 起動時の読み込みに関する次のモジュール情報を確認できます。

realipモジュール

目的:ローカル Nginx がリバースプロキシバックエンドにある場合、ユーザーの実際の IP アドレスを取得できます。

使用方法: realip 関数では、Nginx が ngx_http_realip_module モジュールを追加する必要がありますが、これはデフォルトではコンパイルされません。追加する必要がある場合は、コンパイル時に --with-http_realip_module オプションを追加して有効にしてください。

リアリップスコープ

set_real_ip_from、real_ip_header、real_ip_recursive はすべて、http、サーバー、およびロケーションゾーン構成で使用できます。

いくつかの realip パラメータの説明

set_real_ip_from: リバースプロキシサーバーを設定します。つまり、サーバーのIPを信頼します。
real_ip_header X-Forwarded-For: ユーザーの実際の IP アドレスは、X-Forwarded-For リクエストヘッダーにあります。
リアルIP再帰:
- off: real_ip_headerで指定されたHTTPヘッダーの最後のIPが実際のIPとして使用されます。
- on: real_ip_headerで指定されたHTTPヘッダーの最後のIPが信頼されたサーバーではない場合、実際のIPとして扱われます。

http ヘッダーの X-Forwarded-For、X-Real-IP、およびリモートアドレスの説明

X-Forwarded-For は HTTP リクエストヘッダーにあり、HTTP リクエストの終了時の実際の IP アドレスを示すために使用される HTTP の拡張ヘッダーです。

形式は次のとおりです。

X-Forwarded-For: クライアント、プロキシ1、プロキシ2

Nginx プロキシは通常、次のように構成されます。

proxy_set_header ホスト $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

説明する：

X-Forwarded-For: Nginx が追加しますが、先頭部分は nginx が受信したリクエストヘッダーから取得されるため、この部分はあまり信頼できません。 IP 形式に準拠したもののみを使用できます。そうでない場合、XSS または SQL インジェクションの脆弱性が発生しやすくなります。
リモートアドレス: HTTP プロトコルには IP の概念がありません。リモートアドレスは TCP 接続から取得され、サーバーとの TCP 接続を確立するデバイスの IP を示します。したがって、リモートアドレスを偽造することはできません。
X-Real-IP: HTTP プロキシは、TCP 接続を確立するデバイスの IP アドレスを示すために使用されます。このデバイスは、別のプロキシの場合もあれば、実際の要求側の場合もあります。

Realip関数の例

以下に簡単なアーキテクチャ図を示します。

仮定1:

1. Nginx が realip モジュールを使用しない場合、2 番目の Nginx の X-Forwarded-For リクエストは 1.1.1.1 ですが、remote_addr アドレスは 2.2.2.2 です。このとき、アプリケーションサービスは X-Forwarded-For フィールドを通じてユーザーの実際の IP を取得できます。ただし、ここにはリスクがあります。中間に複数の層のリバースプロキシサービスがある場合、一意のユーザーの実際の IP を取得することは不可能になります。

2. Nginx が realip モジュールを使用し、次のように設定されている場合、Nginx は X-Forwarded-For の最後の IP (2.2.2.2) を実際の IP として取得します。最後に、アプリケーションサービスによって取得されるアドレスも 2.2.2.2 ですが、実はこれはユーザーの IP ではありません。

2.2.2.2 から実際の IP を設定します。
2.2.2.3 から set_real_ip_from; 
real_ip_header X-Forwarded-For; 
real_ip_recursive をオフ;

3. Nginx が realip モジュールを使用し、次のように設定されている場合、2.2.2.2 は信頼できるサーバー IP であるため、Nginx は前方検索を続行し、1.1.1.1 が信頼できるサーバー IP ではないことを検出すると、それを実際の IP と見なします。しかし、実際には 1.1.1.1 はユーザーの IP です。最後に、アプリケーションサービスはユーザーの固有の実際の IP も取得します。

2.2.2.2 から実際の IP を設定します。
2.2.2.3 から set_real_ip_from; 
real_ip_header X-Forwarded-For; 
real_ip_recursive オン;

要約する

Nginx 基礎学習における realip モジュールの使用に関するこの記事はこれで終わりです。Nginx realip モジュールの使用に関する詳細については、123WORDPRESS.COM の以前の記事を検索するか、以下の関連記事を引き続き参照してください。今後とも 123WORDPRESS.COM をよろしくお願いいたします。

以下もご興味があるかもしれません: