模块 ngx_http_realip_module
| 示例配置 指令 set_real_ip_from real_ip_header real_ip_recursive 嵌入式变量 |
ngx_http_realip_module 模块用于将客户端地址和可选端口更改为指定头部字段中发送的值。
默认情况下不构建此模块,应使用 --with-http_realip_module 配置参数启用它。
示例配置
set_real_ip_from 192.168.1.0/24; set_real_ip_from 192.168.2.1; set_real_ip_from 2001:0db8::/32; real_ip_header X-Forwarded-For; real_ip_recursive on;
指令
| 语法 |
set_real_ip_from |
|---|---|
| 默认值 | — |
| 上下文 |
http, server, location |
定义已知发送正确替换地址的可信地址。如果指定特殊值 unix:,所有 UNIX 域套接字都将被信任。也可使用主机名指定可信地址 (1.13.1)。
从版本 1.3.0 和 1.2.1 开始支持 IPv6 地址。
| 语法 |
real_ip_header |
|---|---|
| 默认值 |
real_ip_header X-Real-IP; |
| 上下文 |
http, server, location |
定义用于替换客户端地址的请求头部字段。
包含可选端口的请求头部字段值也用于替换客户端端口 (1.11.0)。地址和端口应按照 RFC 3986 指定。
proxy_protocol 参数 (1.5.12) 将客户端地址更改为来自 PROXY 协议头部的值。必须通过在 listen 指令中设置 proxy_protocol 参数来事先启用 PROXY 协议。
| 语法 |
real_ip_recursive |
|---|---|
| 默认值 |
real_ip_recursive off; |
| 上下文 |
http, server, location |
此指令出现在版本 1.3.0 和 1.2.1 中。
如果禁用递归搜索,与可信地址之一匹配的原始客户端地址将被 real_ip_header 指令定义的请求头部字段中发送的最后一个地址替换。如果启用递归搜索,与可信地址之一匹配的原始客户端地址将被请求头部字段中发送的最后一个非可信地址替换。
嵌入式变量
$realip_remote_addr- 保留原始客户端地址 (1.9.7)
$realip_remote_port- 保留原始客户端端口 (1.11.0)