阿里云的均衡负载，貌似获取不到经过代理的客户端真实 ip

我开了阿里云的均衡负载的目的是为了能够第一时间把真实 ip 提取出来然后第一时间设置防火墙把这些恶意 ip 给屏蔽掉，但问题是测试了几天经过代理的 ip 还是看不到真实 ip ，还需后端服务器提取，究竟这么设置才能让 slb 提取到真实 ip 然后再后端通过 netstat 就能查看到真实 ip?这样，我就可以减少很多工作了，后端服务器也就更安全了

woshisongzhe

2016-08-17 10:25:55 +08:00

@songw123 我在后端设置了 XFF ，但是通过命令窗口 netstat 还是抓取不到真实 ip ，要在负载均衡那设置？但是负载均衡没有让我们进去设置的入口

cq65617875

2016-08-17 11:15:22 +08:00

netstat 当然是看不到客户端 IP 的啊因为访问的都是 CDN 节点的 IP 你可以在 Header 中获取到 IP

woshisongzhe

2016-08-17 13:53:45 +08:00

@cq65617875 按照这么说，对于通过代理隐藏的客户端 ip 不能通过防火墙给它封了是吗

cq65617875

2016-08-17 15:10:26 +08:00

@woshisongzhe 如果你走 CDN 那么你就只能从你的 WEBSERVER 来判断 IP 你可以在里面做判断进行 403 跳转 CDN 本身就有一层防火墙你这么做的原因是要做什么

cq65617875

2016-08-17 15:11:30 +08:00

@woshisongzhe 妈的我貌似搞错了你用的是 SLB 并不是 CDN （噗

cq65617875

2016-08-17 15:16:12 +08:00

@woshisongzhe
如何获得来访者的真实 IP ？

针对 7 层（ HTTP 协议）服务，负载均衡通过 Http Header:X-Forwarded-For 获取来访者真实 IP ，该功能已经默认开启，无需配置，也不能修改。

针对 4 层（ TCP 协议）服务可以直接获取，无需额外配置。

songw123

2016-08-17 15:53:58 +08:00

@woshisongzhe 这种情况下，你可以在应用层做，防火墙层面很难做， iptables 不支持

woshisongzhe

2016-08-17 15:57:22 +08:00

@cq65617875 我想要的是在进入防火墙之前这个 ip 就已经暴露而不是进入防火墙之后这个 ip 才能被提取，这么做的话就减少应用层的提取真实 ip 的负担了

woshisongzhe

2016-08-17 15:58:55 +08:00

@songw123 应用层倒是能抓取到，但是增加应用层的负担，我看到 slb 说能真实抓取到 ip 我才开了 slb 试一下，但是发现在后端通过 netstat 查看不到经过代理的真实 ip

woshisongzhe

2016-08-17 16:58:41 +08:00

@cq65617875 通过网址获取网页结果，我一直理解为是 tcp 业务，其他 UDP 什么的我都封了，只留下 tcp 协议

root123

2018-01-03 22:56:29 +08:00

@woshisongzhe 大佬，解决了么？请问如何解决的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/299595

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.