前端Nginx四层反向代理时候，后端iis如何获取真实IP

在配置前端Nginx进行四层反向代理时，后端IIS可以通过X-Forwarded-For头部信息获取用户的真实IP地址。为此，需要在Nginx的配置中启用X-Forwarded-For字段的传递，同时在IIS中进行相应的设置来解析并使用这一信息。

具体地说，首先在Nginx中设置反向代理并添加X-Forwarded-For字段，将客户端的原始IP地址附加到HTTP请求头中。随后，在IIS端，通常需要安装和配置特定的模块来读取X-Forwarded-For头部并获取真实的客户端IP地址。例如，可以通过安装IIS ARR（Application Request Routing）模块实现这一需求。ARR模块可以解析HTTP头信息，将X-Forwarded-For中的IP地址识别为客户端的原始IP地址。

一、配置NGINX以添加X-FORWARDED-FOR

首先，在Nginx服务器上，你需要进行的配置通常涉及到编辑Nginx的配置文件。（通常是nginx.conf或一个特定的虚拟主机文件），示例如下:

server {

    listen 80;
    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://backend_servers;
    }
}

在这里，proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 语句用于将客户端的原始IP添加到请求头中，proxy_pass 则指向了后端的IIS服务器群组。

二、安装和配置IIS ARR模块

接着，在IIS服务器上，如果没有安装ARR模块，你需要从Microsoft官网下载并安装它。安装完成后，需要进行一些配置：

1. 打开IIS管理器，找到你的站点。
2. 在站点的特性视图中打开“应用程序请求路由缓存”特性。
3. 在“服务器代理设置”中勾选“启用代理”。
4. 在“HTTP请求头部”部分，设置“ARR客户端IP头部”字段为X-Forwarded-For。

三、IIS中读取真实IP地址

安装并配置ARR后，为了让IIS能够识别X-Forwarded-For中的IP地址，可能需要进一步编写服务器端代码：

ASP.NET 示例代码

string userIpAddress = Request.ServerVariables["HTTP_X_FORWARDED_FOR"];

if (string.IsNullOrEmpty(userIpAddress)) {
    userIpAddress = Request.ServerVariables["REMOTE_ADDR"];
}

以上代码通过检查HTTP_X_FORWARDED_FOR服务器变量来获取用户的真实IP地址。如果该值不存在，代码回退到使用REMOTE_ADDR，这通常是Nginx服务器的IP。

四、安全性考虑

当使用X-Forwarded-For时，应注意安全性问题，因为HTTP头部是可以被伪造的。因此，确保这些头信息只在信任的代理之间传递很重要。在Nginx配置中，用set_real_ip_from指令指定信任的代理服务器的范围，并用real_ip_header指令定义哪个头部包含真实地址。

五、日志记录真实IP

最后，除了代码层面的使用，获取用户真实IP地址对于日志分析同样重要。在IIS的日志配置中，可以设定使用X-Forwarded-For头信息作为客户端IP地址的记录方式。需记住，如果日志中直接记录REMOTE_ADDR，那么记录的将是Nginx代理服务器的IP，而不是用户的真实IP。

结论

通过上述步骤，你可以在使用Nginx作为四层反向代理的场景下，正确地配置后端IIS服务器以获取客户端的真实IP地址。重要的是两边配合，将真实IP地址透传到IIS，并通过编码、配置以及IIS模块的帮助进行合理地利用。这对于用户跟踪、安全分析和日志记录都是非常关键的。

相关问答FAQs：

1. 如何在前端Nginx四层反向代理时将真实IP传递给后端iis？

有多种方式可以实现将真实IP传递给后端iis。一种常见的做法是在Nginx的配置文件中添加一行配置，例如：

proxy_set_header X-Real-IP $remote_addr;

这样配置后，Nginx会将客户端的真实IP地址存储在X-Real-IP这个HTTP头中，然后通过反向代理将请求转发给后端iis。在后端iis中，可以通过读取X-Real-IP这个HTTP头来获取真实IP地址。

2. 除了配置Nginx，是否有其他方法可以在前端反向代理时传递真实IP给后端iis？

除了在Nginx配置中添加传递真实IP的配置外，还有其他方法来获取真实IP。例如，可以使用HTTP代理模块将真实IP作为查询参数添加到转发的URL中。另外，如果你的前端服务器和后端iis之间有专用的网络连接，你也可以使用内部IP来传递真实IP。

3. 需要注意哪些问题，以确保后端iis能够正确获取到真实IP地址？

在配置Nginx和iis时，需要注意以下几点来确保后端iis能够正确获取真实IP地址：

• 确保Nginx的反向代理配置中正确地传递了真实IP（如例1所示）。
• 确保Nginx和iis之间的网络连接正常，没有防火墙或其他网络设备阻止了真实IP的传递。
• 在iis的配置中，确保正确读取反向代理传递的真实IP，通常可以通过读取HTTP头的方式来获取真实IP。
• 在iis的配置中，如果有CDN或负载均衡等中间设备，也需要注意它们是否正确传递了真实IP。
• 测试时可以使用一些工具或在线服务来验证真实IP地址是否正确地传递到了iis。

总之，通过适当的配置和测试，可以确保后端iis能够正确获取到前端Nginx四层反向代理时的真实IP地址。

最后建议，企业在引入信息化系统初期，切记要合理有效地运用好工具，这样一来不仅可以让公司业务高效地运行，还能最大程度保证团队目标的达成。同时还能大幅缩短系统开发和部署的时间成本。特别是有特定需求功能需要定制化的企业，可以采用我们公司自研的企业级低代码平台：织信Informat。 织信平台基于数据模型优先的设计理念，提供大量标准化的组件，内置AI助手、组件设计器、自动化（图形化编程）、脚本、工作流引擎（BPMN2.0）、自定义API、表单设计器、权限、仪表盘等功能，能帮助企业构建高度复杂核心的数字化系统。如ERP、MES、CRM、PLM、SCM、WMS、项目管理、流程管理等多个应用场景，全面助力企业落地国产化/信息化/数字化转型战略目标。 版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们微信：Informat_5 处理，核实后本网站将在24小时内删除。