| 维度 | $remote_addr |
$http_x_forwarded_for |
|---|---|---|
| 来源 | TCP 连接层 (由操作系统内核提供) | HTTP 请求头 (由客户端或代理服务器生成) |
| 含义 | 与当前 Nginx 服务器建立直接连接的 IP 地址。 | 一个 IP 列表,记录了请求经过的代理链路。 |
| 格式 | 单个 IP 地址 (如 202.10.1.1) |
逗号分隔的 IP 链 (如 202.10.1.1, 10.0.0.5) |
| 可伪造性 | 不可伪造 (基于 TCP 三次握手) | 极易伪造 (普通的 HTTP 头,谁都能改) |
| 典型场景 | 用户直连服务器时,它是用户真实 IP。 有代理时,它是上一级代理(如 CDN/负载均衡)的 IP。 | 用于在多层代理架构中传递最原始的用户 IP |
场景演示:为什么你需要两者结合?
假设架构为:用户 (1.1.1.1) -> 代理 Nginx (2.2.2.2) -> 后端 Nginx (3.3.3.3)
在代理 Nginx (2.2.2.2) 上:
$remote_addr=1.1.1.1(用户直连它)$http_x_forwarded_for= 空 (或者用户伪造的值)
在后端 Nginx (3.3.3.3) 上:
代理 Nginx 转发请求时,通常会配置 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;。此时后端 Nginx 看到:
$remote_addr=2.2.2.2(注意: 这是代理 Nginx 的 IP,因为它是直接连接后端的人)$http_x_forwarded_for=1.1.1.1, 2.2.2.2(第一个是用户 IP,第二个是代理 IP)
结论:在后端 Nginx 看来,$remote_addr 丢失了用户真实 IP,必须依靠 $http_x_forwarded_for 才能找回 1.1.1.1。
最佳实践:如何安全地获取真实 IP?
既然 $http_x_forwarded_for 可以伪造,我们该如何信任它?
答案是:结合 $remote_addr 做白名单校验。
Nginx 提供了 ngx_http_realip_module 模块来解决这个问题。它的逻辑是:
"只有当直接连接我的人(
$remote_addr)是我信任的代理服务器(如内网 LB)时,我才相信它传过来的$http_x_forwarded_for里的 IP 是真的,并将其替换为当前的$remote_addr。"
配置示例:
http {# 1. 定义信任的代理 IP 段 (比如你的内网负载均衡网段)set_real_ip_from 10.0.0.0/8; # 2. 告诉 Nginx 从哪个头里取 IPreal_ip_header X-Forwarded-For;# 3. 开启递归 (自动剥离信任的代理 IP,直到找到最外侧的真实 IP)real_ip_recursive on;server {# 配置生效后,$remote_addr 变量将自动变为真实用户 IP# 此时记录日志或传给后端,拿到的就是清洗过的真实 IP}
}