logo NodeSeekbeta

套了 CF 后的原始 IP 问题

套了 CF的CDN 之后, Nginx 日志我用的$CF-Connecting-IP
但iftop和 netstatus 等工具都还是识别的是$remote_add
怎么样恢复原始 IP 呢? 通过ngx_http_realip_module可以吗?

  • 你只需要确保nginx能正常识别ip就可以了 ,是http头有CF-Connecting-IP这个标记 告诉nginx真实的ip 防火墙那边只允许cloudflare的Ip访问443端口 iptables netstat不会去看你7层的CF-Connecting-IP 他只管发送方Ip

  • CF-Connecting-IP 是7层的东西 你用3层工具查看肯定不行啊

  • @monologue #1 哦哦懂了

  • 至于4层也有一个协议叫作proxy protocol 你也可以了解一下 haproxy 负载均衡传递后端真实ip也可能需要

  • @monologue #4 懂了,谢谢大佬

  • 楼上说的很好了,补充一点iptable可以基于内容过滤数据包

    iptables -A INPUT -m string --algo bm --string "test" -j DROP
    iptables -A OUTPUT -m string --algo bm --string "test" -j DROP
    iptables -A FORWARD -m string --algo bm --string "test" -j DROP
    

你好啊,陌生人!

我的朋友,看起来你是新来的,如果想参与到讨论中,点击下面的按钮!

📈用户数目📈

目前论坛共有12855位seeker

🎉欢迎新用户🎉