问题
我在两台服务器上安装了机架1.4.5的导轨3.2.15 . 第一台服务器是服务静态资产的nginx代理 . 第二台服务器是服务于rails应用程序的独角兽 .
在Rails中 production.log
我总是看到nginx IP地址(10.0.10.150)而不是我的客户端IP地址(10.0.10.62):
Started GET "/" for 10.0.10.150 at 2013-11-21 13:51:05 +0000
我希望在日志中拥有真正的客户端IP .
我们的设置
HTTP头文件 X-Forwarded-For
和 X-Real-IP
在nginx中正确设置,我通过在 config/environments/production.rb
中设置 config.action_dispatch.trusted_proxies = /^127\.0\.0\.1$/
将 10.0.10.62
定义为不是可信代理地址,这要归功于另一个answer . 我可以检查它是否正常工作,因为我在应用程序控制器中记录它们:
在 app/controllers/application_controller.rb
:
class ApplicationController < ActionController::Base
before_filter :log_ips
def log_ips
logger.info("request.ip = #{request.ip} and request.remote_ip = #{request.remote_ip}")
end
end
在 production.log
:
request.ip = 10.0.10.150 and request.remote_ip = 10.0.10.62
调查
在调查时,我看到Rails::Rack::Logger负责记录IP地址:
def started_request_message(request)
'Started %s "%s" for %s at %s' % [
request.request_method,
request.filtered_path,
request.ip,
Time.now.to_default_s ]
end
request
是ActionDispatch::Request的一个实例 . 它继承Rack::Request,它定义了如何计算IP地址:
def trusted_proxy?(ip)
ip =~ /^127\.0\.0\.1$|^(10|172\.(1[6-9]|2[0-9]|30|31)|192\.168)\.|^::1$|^fd[0-9a-f]{2}:.+|^localhost$/i
end
def ip
remote_addrs = @env['REMOTE_ADDR'] ? @env['REMOTE_ADDR'].split(/[,\s]+/) : []
remote_addrs.reject! { |addr| trusted_proxy?(addr) }
return remote_addrs.first if remote_addrs.any?
forwarded_ips = @env['HTTP_X_FORWARDED_FOR'] ? @env['HTTP_X_FORWARDED_FOR'].strip.split(/[,\s]+/) : []
if client_ip = @env['HTTP_CLIENT_IP']
# If forwarded_ips doesn't include the client_ip, it might be an
# ip spoofing attempt, so we ignore HTTP_CLIENT_IP
return client_ip if forwarded_ips.include?(client_ip)
end
return forwarded_ips.reject { |ip| trusted_proxy?(ip) }.last || @env["REMOTE_ADDR"]
end
转发的IP地址使用 trusted_proxy?
进行过滤 . 因为我们的nginx服务器使用的是公共IP地址而不是私有IP地址, Rack::Request#ip
认为它不是代理,而是真正的客户端ip尝试进行一些IP欺骗 . 这就是我在日志中看到nginx IP地址的原因 .
在日志摘录中,客户端和服务器的IP地址为10.0.10.x,因为我使用虚拟机来重现我们的 生产环境 环境 .
我们目前的解决方案
为了规避这种行为,我在app / middleware / remote_ip_logger.rb中写了一个小的Rack中间件:
class RemoteIpLogger
def initialize(app)
@app = app
end
def call(env)
remote_ip = env["action_dispatch.remote_ip"]
Rails.logger.info "Remote IP: #{remote_ip}" if remote_ip
@app.call(env)
end
end
我在 ActionDispatch::RemoteIp
中间件之后插入它
config.middleware.insert_after ActionDispatch::RemoteIp, "RemoteIpLogger"
这样我就可以在日志中看到真正的客户端IP:
Started GET "/" for 10.0.10.150 at 2013-11-21 13:59:06 +0000
Remote IP: 10.0.10.62
我觉得这个解决方案有点不舒服 . nginx unicorn是rails应用程序的常见设置 . 如果我必须自己记录客户端IP,这意味着我错过了一些东西 . 是因为Nginx服务器在与rails服务器通信时使用公共IP地址?有没有办法自定义 Rack::Request
的 trusted_proxy?
方法?
EDITED :添加nginx配置和HTTP请求捕获
/etc/nginx/sites-enabled/site.example.com.conf
:
server {
server_name site.example.com;
listen 80;
location ^~ /assets/ {
root /home/deployer/site/shared;
expires 30d;
}
location / {
root /home/deployer/site/current/public;
try_files $uri @proxy;
}
location @proxy {
access_log /var/log/nginx/site.access.log combined_proxy;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_redirect off;
proxy_read_timeout 300;
proxy_pass http://rails.example.com:8080;
}
}
Nginx服务器是 10.0.10.150
. Rails服务器是 10.0.10.190
. 我的机器是 10.0.10.62
当从我的机器上做 curl http://10.0.10.150/
时,轨道服务器上的 tcpdump port 8080 -i eth0 -Aq -s 0
显示这些请求HTTP头:
GET / HTTP/1.0
X-Forwarded-For: 10.0.10.62
X-Forwarded-Proto: http
Host: 10.0.10.150
Connection: close
User-Agent: curl/7.29.0
Accept: */*
rails log /home/deployer/site/current/log/production.log
(远程IP和request.ip行由自定义代码添加):
Started GET "/" for 10.0.10.150 at 2013-11-22 08:01:17 +0000
Remote IP: 10.0.10.62
Processing by Devise::RegistrationsController#new as */*
request.ip = 10.0.10.150 and request.remote_ip = 10.0.10.62
Rendered devise/shared/_links.erb (0.1ms)
Rendered devise/registrations/new.html.erb within layouts/application (2.3ms)
Rendered layouts/_landing.html.erb (1.5ms)
Completed 200 OK in 8.9ms (Views: 7.5ms | ActiveRecord: 0.0ms)
5 回答
在我看来,你目前的方法是唯一理智的方法 . 缺少的唯一步骤是覆盖
env
中的IP地址 .如果你有任意数量的代理层和负载均衡器,那么典型的REMOTE_ADDR很少能保存正确的IP,而在这方面你并不是唯一的 . 每个都可能添加或更改远程IP相关标头 . 而且你不能假设每个字段必然对应一个IP地址 . 有些人会将IP推送或取消加载到列表中 .
只有一种方法可以确定哪个领域具有正确的 Value 和方式,那就是潜入那里看 . 你显然已经完成了这件事 . 现在,只需使用Rack中间件覆盖
env['REMOTE_ADDR']
及其正确值 . 有's little point in letting any piece of code you didn' t写日志或处理错误的IP地址,正如现在发生的那样 .(这是Ruby,你也可以修补Rack :: Request,当然......)
对于丰富多彩的阅读,它说明了不同程度的外来设置可能会破坏寻找客户端真实IP地址的尝试,例如,请参阅针对WordPress发生的无休止的讨论:
https://core.trac.wordpress.org/ticket/9235
https://core.trac.wordpress.org/ticket/4198
https://core.trac.wordpress.org/ticket/4602
这是PHP,但所提出的要点的要点同样适用于Ruby . (请注意,我写这篇文章时它们没有得到解决,而且它们已经存在了 . )
这似乎对我有用 . (在nginx配置中设置)
我遇到了同样的问题,我们的一部分Web客户端在我们的专用网络上访问我们的rails应用程序(Rails 4.2.7),我们得到了错误的IP报告 . 所以,我想我会添加对我们有用的东西来解决问题 .
我发现Rails issue 5223提供了一个更好的解决方法,而不是像问题那样双重记录IP . 所以,我们通过Monkey patch来从可信代理列表中删除专用网络,如下所示:
这解决了控制器记录错误的IP,另一半修复以确保正确处理
request.remote_ip
. 至这样做会将以下内容添加到config / environments / production.rb中:我遇到了同样的问题 . 为了解决这个问题,我提到了你的实现,就在
config/application.rb
的行下方修复了它 .无需编写额外的 Logger ,您将在第一行中看到实际的客户端IP .
并在
app\middleware\remote_ip_logger.rb
. 我的HTTP_X_FORWARDED_FOR
有一个IP列表,第一个是实际客户端的IP .简短而简单: