前端Nginx四层反向代理时候，后端iis如何获取真实IP

在配置前端Nginx进行四层反向代理时，后端IIS可以通过X-Forwarded-For头部信息获取用户的真实IP地址。为此，需要在Nginx的配置中启用X-Forwarded-For字段的传递，同时在IIS中进行相应的设置来解析并使用这一信息。

具体地说，首先在Nginx中设置反向代理并添加X-Forwarded-For字段，将客户端的原始IP地址附加到HTTP请求头中。随后，在IIS端，通常需要安装和配置特定的模块来读取X-Forwarded-For头部并获取真实的客户端IP地址。例如，可以通过安装IIS ARR（Application Request Routing）模块实现这一需求。ARR模块可以解析HTTP头信息，将X-Forwarded-For中的IP地址识别为客户端的原始IP地址。

一、配置NGINX以添加X-FORWARDED-FOR

首先，在Nginx服务器上，你需要进行的配置通常涉及到编辑Nginx的配置文件。（通常是nginx.conf或一个特定的虚拟主机文件），示例如下:

server {

    listen 80;
    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://backend_servers;
    }
}

在这里，proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 语句用于将客户端的原始IP添加到请求头中，proxy_pass 则指向了后端的IIS服务器群组。

二、安装和配置IIS ARR模块

接着，在IIS服务器上，如果没有安装ARR模块，你需要从Microsoft官网下载并安装它。安装完成后，需要进行一些配置：

1. 打开IIS管理器，找到你的站点。
2. 在站点的特性视图中打开“应用程序请求路由缓存”特性。
3. 在“服务器代理设置”中勾选“启用代理”。
4. 在“HTTP请求头部”部分，设置“ARR客户端IP头部”字段为X-Forwarded-For。

三、IIS中读取真实IP地址

安装并配置ARR后，为了让IIS能够识别X-Forwarded-For中的IP地址，可能需要进一步编写服务器端代码：

ASP.NET 示例代码

string userIpAddress = Request.ServerVariables["HTTP_X_FORWARDED_FOR"];

if (string.IsNullOrEmpty(userIpAddress)) {
    userIpAddress = Request.ServerVariables["REMOTE_ADDR"];
}

以上代码通过检查HTTP_X_FORWARDED_FOR服务器变量来获取用户的真实IP地址。如果该值不存在，代码回退到使用REMOTE_ADDR，这通常是Nginx服务器的IP。

四、安全性考虑

当使用X-Forwarded-For时，应注意安全性问题，因为HTTP头部是可以被伪造的。因此，确保这些头信息只在信任的代理之间传递很重要。在Nginx配置中，用set_real_ip_from指令指定信任的代理服务器的范围，并用real_ip_header指令定义哪个头部包含真实地址。

五、日志记录真实IP

最后，除了代码层面的使用，获取用户真实IP地址对于日志分析同样重要。在IIS的日志配置中，可以设定使用X-Forwarded-For头信息作为客户端IP地址的记录方式。需记住，如果日志中直接记录REMOTE_ADDR，那么记录的将是Nginx代理服务器的IP，而不是用户的真实IP。

结论

通过上述步骤，你可以在使用Nginx作为四层反向代理的场景下，正确地配置后端IIS服务器以获取客户端的真实IP地址。重要的是两边配合，将真实IP地址透传到IIS，并通过编码、配置以及IIS模块的帮助进行合理地利用。这对于用户跟踪、安全分析和日志记录都是非常关键的。

相关问答FAQs：

1. 如何在前端Nginx四层反向代理时将真实IP传递给后端iis？

有多种方式可以实现将真实IP传递给后端iis。一种常见的做法是在Nginx的配置文件中添加一行配置，例如：

proxy_set_header X-Real-IP $remote_addr;

这样配置后，Nginx会将客户端的真实IP地址存储在X-Real-IP这个HTTP头中，然后通过反向代理将请求转发给后端iis。在后端iis中，可以通过读取X-Real-IP这个HTTP头来获取真实IP地址。

2. 除了配置Nginx，是否有其他方法可以在前端反向代理时传递真实IP给后端iis？

除了在Nginx配置中添加传递真实IP的配置外，还有其他方法来获取真实IP。例如，可以使用HTTP代理模块将真实IP作为查询参数添加到转发的URL中。另外，如果你的前端服务器和后端iis之间有专用的网络连接，你也可以使用内部IP来传递真实IP。

3. 需要注意哪些问题，以确保后端iis能够正确获取到真实IP地址？

在配置Nginx和iis时，需要注意以下几点来确保后端iis能够正确获取真实IP地址：

• 确保Nginx的反向代理配置中正确地传递了真实IP（如例1所示）。
• 确保Nginx和iis之间的网络连接正常，没有防火墙或其他网络设备阻止了真实IP的传递。
• 在iis的配置中，确保正确读取反向代理传递的真实IP，通常可以通过读取HTTP头的方式来获取真实IP。
• 在iis的配置中，如果有CDN或负载均衡等中间设备，也需要注意它们是否正确传递了真实IP。
• 测试时可以使用一些工具或在线服务来验证真实IP地址是否正确地传递到了iis。

总之，通过适当的配置和测试，可以确保后端iis能够正确获取到前端Nginx四层反向代理时的真实IP地址。