如何获取来访者的真实IP？

背景信息

如果IP经过NAT/WAF，则只能获取到NAT/WAF转化后的IP地址，无法获取到NAT/WAF前的IP地址。
如果客户端为容器，只能获取到容器所在主机的IP地址，无法获取容器的IP。
四层监听器（TCP/UDP）开启“获取客户端IP”功能之后，不支持同一台既作为后端又作为客户端的场景。

七层服务

针对七层（HTTP协议）服务，需要对应用服务器进行配置，然后使用X-Forwarded-For的方式获取来访者的真实IP地址。

真实的来访者IP会被负载均衡放在HTTP头部的X-Forwarded-For字段，格式如下：

X-Forwarded-For: 来访者真实IP, 代理服务器1-IP,  代理服务器2-IP, ...

当使用此方式获取来访者真实IP时，获取的第一个地址就是来访者真实IP。

配置Apache服务器

安装Apache 2.4。
例如在CentOS 7.5环境下，可以执行如下命令执行安装：
```
yum install httpd
```
修改Apache的配置文件/etc/httpd/conf/httpd.conf，在最末尾添加以下配置信息。
```
LoadModule remoteip_module modules/mod_remoteip.so
RemoteIPHeader X-Forwarded-For
RemoteIPInternalProxy 100.125.0.0/16
```
图1 修改Apache的配置文件示例图

将代理服务器的网段添加到 RemoteIPInternalProxy <IP_address>，如负载均衡的IP地址段 100.125.0.0/16（100.125.0.0/16 是负载均衡服务保留地址，其他用户无法分配到该网段内，不会存在安全风险）和高防IP地址段。多个IP地址段用逗号分隔。
修改Apache的配置文件/etc/httpd/conf/httpd.conf，将日志输出格式修改为如下所示（%a代表源IP地址）：
```
LogFormat "%a %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
```
重启Apache。
```
systemctl restart httpd
```
查看httpd的访问日志，您可以获取真实的来访者IP。

配置Nginx服务器

例如在CentOS 7.5环境下，可以执行如下命令执行安装：

运行以下命令安装http_realip_module。

yum -y install gcc pcre pcre-devel zlib zlib-devel openssl openssl-devel
wget http://nginx.org/download/nginx-1.17.0.tar.gz
tar zxvf nginx-1.17.0.tar.gz
cd nginx-1.17.0
./configure --prefix=/path/server/nginx --with-http_stub_status_module --without-http-cache --with-http_ssl_module --with-http_realip_module
make
make install

打开nginx.conf文件。
```
vi /path/server/nginx/conf/nginx.conf
```
在以下配置信息后添加新的配置字段和信息。
在http或者server处，需要添加的配置字段和信息：
```
set_real_ip_from 100.125.0.0/16;
real_ip_header X-Forwarded-For;
```
图2 添加配置字段和信息示例图

将代理服务器的网段添加到 set_real_ip_from <IP_address>，如负载均衡的IP地址段 100.125.0.0/16（100.125.0.0/16是负载均衡服务保留地址，其他用户无法分配到该网段内，不会存在安全风险）和高防IP地址段。多个IP地址段用逗号分隔。
启动Nginx。
```
/path/server/nginx/sbin/nginx
```
查看Nginx的访问日志，您可以获取真实的来访者IP。
```
cat /path/server/nginx/logs/access.log
```

配置Tomcat服务器

本教程中的Tomcat的安装路径为“/usr/tomcat/tomcat8/”。

登录已安装Tomcat的服务器。
执行如下命令，确定Tomcat已经正常运行。
```
ps -ef|grep tomcat
netstat -anpt|grep java
```
图3 正常运行结果示例

选择修改server.xml文件，添加如下配置项。

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log." suffix=".txt"
pattern="%{X-FORWARDED-FOR}i %l %u %t %r %s %b %D %q %{User-Agent}i %T" resolveHosts="false" />

图4 配置示例

执行如下命令，重启Tomcat服务。
```
cd /usr/tomcat/tomcat8/bin && sh startup.sh
```
其中“/usr/tomcat/tomcat8/”为Tomcat安装路径，请根据实际情况替换。

图5 重启Tomcat服务
执行如下命令，查看最新的日志。
如图中红框所示获取到的非100.125网段的IP地址，即为获取到的源IP地址。
```
cat localhost_access_log..2020-09-10.txt
```
其中“localhost_access_log..2020-09-10.txt”为当天日志路径，请根据实际情况替换。

图6 查询源IP地址

配置Windows IIS服务器

本教程以Windows Server 2012配置IIS7为例介绍，其他版本操作可能略有不同。

下载并安装IIS。
https://www.microsoft.com/zh-cn/download/confirmation.aspx?id=1038
自行下载F5XForwardedFor.dll插件，并根将获取到x86和x64目录下的F5XForwardedFor.dll插件拷贝到IIS服务具有访问权限的目录下，例如C:\F5XForwardedFor2008。
打开IIS管理器，选择“模块 > 配置本机模块”注册拷贝的2个插件。
图7 选择模块选项

图8 配置本机模块
单击“注册”，分别注册x86和x64插件。
图9 注册插件
在“模块”页面，确认注册的模块名称出现在列表中。
图10 确认注册成功
选择IIS管理器主页的“ISAPI筛选器”，为2个插件授权运行ISAPI和CGI扩展。
图11 添加授权
选择“ISAPI和CGI限制”，为2个插件设置执行权限。
图12 允许执行
单击主页的“重新启动”，重启IIS服务，重启后配置生效。
图13 重启IIS服务