Xác định địa chỉ IP của khách hàng Đằng sau Amazon ELB

Question

Chúng tôi có một số máy chủ PHP trên EC2 sau ELB. Chúng tôi muốn xác định miền địa phương/khu vực theo địa chỉ IP của khách hàng kết nối với máy chủ của chúng tôi. Vấn đề là các máy chủ PHP chỉ thấy địa chỉ IP của ELB. Chúng tôi muốn xem địa chỉ IP của khách hàng được chuyển qua ELB.

Answer 1

Theo AWS docs, các ELB nên được thiết lập 'X-Forwarded-For' HTTP header mà bảo tồn bản gốc địa chỉ khách hàng ip:

Yêu cầu tiêu đề X-Forwarded-For giúp bạn xác định Địa chỉ IP của một khách hàng. Bởi vì cân bằng tải chặn lưu lượng giữa máy khách và máy chủ, nhật ký truy cập máy chủ của bạn chỉ chứa địa chỉ IP của trình cân bằng tải. Để xem địa chỉ IP của máy khách, hãy sử dụng tiêu đề yêu cầu X-Forwarded-For.

Bạn có thể truy cập nó bằng cách sử dụng mã PHP sau (giả sử apache):

$http_headers = apache_request_headers(); 
$original_ip = $http_headers["X-Forwarded-For"]; 

Answer 2

bạn có thể yêu cầu khách hàng báo cáo địa chỉ IP của mình một cách rõ ràng không? Kiểm tra điều này post.

Answer 3

Đây là một vấn đề lớn, vì vậy hãy thử này: D

<?php 
     if (!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) { 
      $real_client_ip = $_SERVER["HTTP_X_FORWARDED_FOR"]; 
     } else { 
      $real_client_ip = $_SERVER["REMOTE_ADDR"]; 
     } 

Answer 4

Nếu bạn sử dụng Apache, hãy xem mô-đun mod_remoteip. Nó được bao gồm trong Apache 2.4 và mới hơn, nhưng cũng có thể tìm thấy backports cho 2.2.

Mô-đun ghi đè địa chỉ IP của khách hàng để kết nối với địa chỉ IP người dùng được báo cáo trong tiêu đề yêu cầu được định cấu hình với chỉ thị RemoteIPHeader.

Sau khi được thay thế theo hướng dẫn, địa chỉ IP người dùng được ghi đè này sau đó được sử dụng cho tính năng yêu cầu mod_authz_host Yêu cầu ip, được báo cáo bởi mod_status và được ghi bởi mod_log_config% a và core% a string định dạng. IP khách hàng cơ bản của kết nối có sẵn trong chuỗi định dạng% {c}.

Nói cách khác, bạn có thể đặt tiêu đề để sử dụng (ví dụ: Chuyển tiếp X-For) và IP nào được tin cậy (ví dụ: trình cân bằng tải của bạn). Các IP đáng tin cậy được loại bỏ khỏi tiêu đề và IP không đáng tin cậy đầu tiên được sử dụng làm ứng dụng khách gốc. IP này sau đó được Apache sử dụng nội bộ trong các mô-đun khác, chẳng hạn như để ghi nhật ký, xác thực máy chủ, v.v.

Điều này làm cho nó hữu ích hơn là chỉ xử lý tiêu đề XFF trong PHP, vì mod_remoteip quản lý toàn bộ ngăn xếp, đảm bảo nhật ký truy cập của bạn là chính xác, v.v.

Lưu ý: Ngoài ra còn có mô-đun mod_rpaf là tiền thân của mô-đun này. Nó còn hạn chế hơn nhiều. Ví dụ, nó không thể xử lý các phạm vi ip tin cậy. Bạn cần điều này vì bạn không biết IP của ELB trước đó. Nó cũng không thể xử lý nhiều bước nhảy, chẳng hạn như ELB trước Varnish, trước Apache. Tôi muốn đề nghị bỏ qua các module rpaf và sử dụng remoteip để thay thế.

Answer 5

Dường như mod_cloudflare có thể là một lựa chọn tốt hơn cho một số - especialy v2.2 người đã Đọc thêm tại blog của chap này: http://knowledgevoid.com/blog/2012/01/13/logging-the-correct-ip-address-using-apache-2-2-x-and-amazons-elastic-load-balancer/

Answer 6

giải pháp tối ưu cho PHP ứng dụng đằng sau AWS ELB:

if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) { 
    $commaPos = strrchr($_SERVER['HTTP_X_FORWARDED_FOR'], ','); 
    if ($commaPos === FALSE) $remote_addr = $_SERVER['HTTP_X_FORWARDED_FOR']; 
    else $remote_addr = trim(substr($_SERVER['HTTP_X_FORWARDED_FOR'], $commaPos + 1)); 
} else { 
    $remote_addr = $_SERVER['REMOTE_ADDR']; 
} 

Ghi chú: X-Forwarded-For có thể là một dấu phẩy không gian tách ra danh sách các proxy, với cuối cùng trong danh sách được kết nối với ELB của AWS, và do đó người duy nhất chúng ta có thể tin tưởng là không bị giả mạo.