关于nginx回源IP和访客真实IP

igoogle

nginx中，

使用
set_real_ip_from 0.0.0.0/0;
real_ip_header X-Forwarded-For;
real_ip_recursive on;
来获取访客真实IP，


但是，
deny ip;
allow ip；

这里的IP依然是指回源IP，而不是访客真实IP，

我的理解正确吗？

比如网站套了cf，如果只允许cf IP回源，用allow cloudflare IP加上deny all即可；
但是如果要禁止某个特定IP访问网站，deny ip是没有意义的。。。

我的理解正确吗？

被chatgpt搞懵逼了，特来问问吊打的mjj。。。

蓝洛水深

chatgpt出来，这里有客户投诉你的回答不清楚

Ducker69

接入cf后想禁止某个ip就用cfapi或者cf的防火墙禁止，denyip应该就是cdn后的实际ip

igoogle

Ducker69 发表于 2024-7-17 14:33
接入cf后想禁止某个ip就用cfapi或者cf的防火墙禁止，denyip应该就是cdn后的实际ip ...

我不明白的是，deny IP这里的IP，到底是回源IP（比如cf的IP），还是访客的真实IP？

icon

igoogle 发表于 2024-7-17 14:35
我不明白的是，deny IP这里的IP，到底是回源IP（比如cf的IP），还是访客的真实IP？ ...

我的理解是回源ip

打酱油的

https://www.opshub.cn/2024-05-22/nginx-get-the-real-ip-for-access-control-zw5foy-1413.html

Nginx 的 access 模块在进行访问控制时，默认使用的是$remote_addr​变量，该变量表示客户端的真实IP地址。如果 Nginx服务器 前面有还代理或负载均衡，那么$remote_addr​取得的则是上一跳设备的IP。

结合你的场景，你用 access 模块做访问控制，并不能直接拒绝或者允许某个真实IP，因为 $remote_addr​ 取到的是上一跳设备IP，即CDN边缘节点IP，而不是真实IP。

需要用 ngx_http_realip_module​ 模块来获取并替换 $remote_addr​ 变量的值为真实的客户端 IP。

igoogle

打酱油的 发表于 2024-7-17 14:54
https://www.opshub.cn/2024-05-22/nginx-get-the-real-ip-for-access-control-zw5foy-1413.html

Nginx 的 ...

还是mjj靠谱，沙雕chatgpt一会儿说东，一会儿说西。。。

hanada

igoogle 发表于 2024-7-17 20:12
还是mjj靠谱，沙雕chatgpt一会儿说东，一会儿说西。。。

……不要被误导了，nginx的realip模块会修改$remote_addr，所以access模块deny的就是cf通过xff回传的真实客户端ip

igoogle

hanada 发表于 2024-7-17 21:37
……不要被误导了，nginx的realip模块会修改$remote_addr，所以access模块deny的就是cf通过xff回传的真实 ...

你说的对，我刚才测试了，在配置了realip模块之后，$remote_addr传递的就是访客的真实IP，而不是cf或者前置代理的IP。

所以，如果配置了realip模块，就不能够再通过allow 和 deny来设置只允许cf IP回源了。

hanada

igoogle 发表于 2024-7-17 21:57
你说的对，我刚才测试了，在配置了realip模块之后，$remote_addr传递的就是访客的真实IP，而不是cf或者前 ...

可以用geo+if来做

geo $realip_remote_addr $is_cf_ip {
  xxxx/xx 1;
  xxxx/xx 1;
  xxxx/xx 1;
  ...
  default 0;
}

server {
....
if ( $is_cf_ip != 1 ) {
  return 444;
}
}