模块 ngx_http_realip_module
| 示例配置 指令 set_real_ip_from real_ip_header real_ip_recursive 嵌入变量 |
ngx_http_realip_module 模块用于将客户端地址和可选端口更改为在指定头字段中发送的地址和端口。
此模块默认情况下未构建,应使用 --with-http_realip_module 配置参数启用它。
示例配置
set_real_ip_from 192.168.1.0/24; set_real_ip_from 192.168.2.1; set_real_ip_from 2001:0db8::/32; real_ip_header X-Forwarded-For; real_ip_recursive on;
指令
| 语法 |
set_real_ip_from |
|---|---|
| 默认值 | — |
| 上下文 |
http、server、location |
定义已知发送正确替换地址的可信地址。如果指定特殊值 unix:,则所有 UNIX 域套接字都将被信任。也可以使用主机名指定可信地址(1.13.1)。
从版本 1.3.0 和 1.2.1 开始支持 IPv6 地址。
| 语法 |
real_ip_header |
|---|---|
| 默认值 |
real_ip_header X-Real-IP; |
| 上下文 |
http、server、location |
定义将使用其值替换客户端地址的请求头字段。
包含可选端口的请求头字段值也用于替换客户端端口(1.11.0)。应根据 RFC 3986 指定地址和端口。
proxy_protocol 参数(1.5.12)将客户端地址更改为来自 PROXY 协议头的地址。必须通过在 listen 指令中设置 proxy_protocol 参数来预先启用 PROXY 协议。
| 语法 |
real_ip_recursive |
|---|---|
| 默认值 |
real_ip_recursive off; |
| 上下文 |
http、server、location |
此指令出现在版本 1.3.0 和 1.2.1 中。
如果禁用递归搜索,则与其中一个可信地址匹配的原始客户端地址将被 real_ip_header 指令定义的请求头字段中发送的最后一个地址替换。如果启用递归搜索,则与其中一个可信地址匹配的原始客户端地址将被请求头字段中发送的最后一个不可信地址替换。
嵌入变量
$realip_remote_addr- 保留原始客户端地址(1.9.7)
$realip_remote_port- 保留原始客户端端口(1.11.0)