老师您好，我执行curl http://gx.com:666/ -H "X-Forwarded-For: 167.156.88.199,127.0.0.1,1.1.1.1" 为什么$remote_addr变量是1.1.1.1，按照X-Forwarded-For: client_ip,proxy_ip1,proxy_ip2...的格式，期望的输出应该是167.156.88.199才对。这是我的配置： 1 server { 2 listen 127.0.0.1:666; 3 server_name gx.com; 4 set_real_ip_from 127.0.0.1; 5 real_ip_header X-Forwarded-For; 6 real_ip_recursive off; 7 8 location / { 9 return 200 "Your Client Ip: $remote_addr, $realip_remote_addr\n"; 10 } 11 } 望老师解答，感谢。

作者回复: 你要这么配置： real_ip_recursive on; set_real_ip_from 1.1.1.1; set_real_ip_from 127.0.0.1; Nginx的设计思想就是这样，参见http://nginx.org/en/docs/http/ngx_http_realip_module.html，明确写着last address。Nginx做这种设定更多是从trust ip角度出发的。

2019-04-13



7

Rainman

陶老师好。用X-Real-IP来获取客户端IP不是最简单吗？例子里用X-Forwarded-For 来获取有什么优点吗？

作者回复: X-Real-IP是Nginx独有的，不是RFC规范，所以与client间如何还有其他非Nginx软件实现的代理，将取不到X-Real-IP头部

2019-08-25



4

明明懂

通过以上的回答，在 X-Forward-For 的最左边才是真实用户的地址，右边都是代理地址，当我们把 real_ip_header 设置为 X-Forward-For 时，如果没有启用环回地址 real_ip_recursive，我们取到的 $remote_addr 是 X-Forward-For 中最右边的 ip，无论是否设置了 set_real_ip_from；如果启用了环回地址 real_ip_recursive on，那么就获取最左边的 ip，也就是排除设置了 set_real_ip_from(可信地址外的)。老师，我的理解对吗

作者回复: 完全正确！如果启用了环回地址，不一定是最左边的IP，而是从右边开始数，第一个非可信地址的IP

2019-11-07



3

初音未来

老师你好，还有一个问题，我们公司目前打算上kong，kong有个限流插件，是根据X-Forwarded-For判断IP，我们公司架构是CDN-->KONG-->后端真实服务，这显然是获取不到用户真实IP的，所以我使用real_ip_header X-Forwarded-For; real_ip_recursive on; set_real_ip_from 一堆CDN IP; 获取到了用户真实IP，但是如果再有一层代理（不知道代理IP），或者，边缘CDN没有请求的资源，向上一级CDN请求，该如何获取用户真实IP呢

作者回复: 这样的话，realip模块做不到，因为它基于trust ip address设计的，你可以直接用http_X-Forwarded-For变量取到所有的值，再做字符串处理，取第一个IP

2019-05-23



3

风行传说

你好，老师，这一部分我有几个问题一直不是很理解，希望您能给解答一下： 1、例如 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 作用是将$proxy_add_x_forwarded_for的值赋值给前面的变量 X-Forwarded-For 吗？那变量X-Forwarded-For名称是否可以随意进行定义？该变量的用处是什么，因为nginx的日志定义log_format中并未使用到X-Forwarded-For这个变量 2、如果是多层nginx代理，nginx01+nginx02 nginx02如何获取到客户端的真实ip地址 3、proxy_set_header中的定义，在log_format中并未应用到，各变量的作用在此次视频中也未讲解到

作者回复: 1、proxy_set_header是设置发向上游服务的请求头部的指令，第4部分课程会详细介绍。 X-Forwarded-For是RFC7239定义的头部，所有各大web服务都支持，你改了后就只能自己处理，不能依赖nginx之类的服务自动处理了。这一节课介绍的realip模块，也必须通过这个名称来修改remote_addr变量。 2、通过X-forwarded-for或者x-realip头部。 3、proxy反向代理在第4部分介绍。咱们课程后面内容还很多：-）

2018-12-12



3

猫王者

为什么视频里明明是取X-Forward-For最右边的ip，留言里也有两位同学已经指出这个问题了，老师取仍然坚持说是最左边呢？我测试后也发现取的是最右边的ip作为remote_add 的值。准确的说当real_ip_recursive 为on时，是从XFF最右边的ip开始遍历，找到第一个不等于所有set_real_ip_from的ip，将这个ip作为remote_addr的值；当real_ip_recursive为off时，取的是XFF最右边的那个ip。能给个解释吗

作者回复: 1、你说的对。 2、视频里要表达的意思是，最左边是客户端的真实地址，也是我们真正需要的地址，右边的是代理服务器地址。为了能够取到最左边地址，依赖于set_real_ip_from设置好可信代理地址。你可以参见无菇朋友的例子。

2019-08-13

2

2

thetruchar

6:52 说的是从X-Forwarded-For最后一个ip取? 怎么前后矛盾的?

作者回复: 从后向前取，没错。你可以看下无菇朋友的留言，这个例子很有代表性

2019-10-06

3

1

初音未来

陶老师 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for 这个指令是什么意思呢？是把$proxy_add_x_forwarded_for的值赋值给X-Forwarded-For这个变量了吗？

作者回复: 不是，是传递X-Forwarded-For头部给上游，但这个头部的值是什么呢？就用proxy_add_x_forwarded_for变量的值吧。proxy_add_x_forwarded_for变量的值是什么呢？参考http://nginx.org/en/docs/http/ngx_http_proxy_module.html#variables

2019-05-09

2

1

Ignacio

real_ip_header到底是取X-Forwarded-For最右边的IP作为client真实IP，还是取XFF最左边的？看视频里面是取得最右边IP。但根据https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Forwarded-For的解释：X-Forwarded-For: <client>, <proxy1>, <proxy2>，最左边的才是真实IP吧？

作者回复: 是最左边，视频里也是最左边啊，第一页PPT里举的例子里，１１５.２０４.３３.１就是最左边

2019-03-18

2

1

hcyycb

我有一点不明白：在 nginx 配置 realip 模块，为什么能够影响到 CDN 服务器或者代理服务器，将真实 ip 添加到请求头部信息中，并发送到最终的上游服务 nginx ? 我想到的解释就是：其实客户端的真实 ip 本来就已经存在于它的请求连接中，无论有没有配置 realip 模块。当配置了 realip 模块，只是让 nginx 能通过 X-Forwarded-For ，remote_addr 这些参数取出来而已。当没有配置 realip ，只是影响到 X-Forwarded-For ，remote_addr 这些参数的作用而已。可以这样理解吗？

作者回复: nginx与下游间只要有反向代理，那么就无法从IP报文头部取出客户端地址了。通常，符合规范的反向代理会把客户端地方放在X-Forwarded-For头部中。所以，realip模块负责把这些头部中的值，替换掉remote_addr等变量的值

2019-02-03

2

1

收起评论