如何在像nginx这样的代理后面登录rails log中的真实客户端ip

Question

问题

我在两台服务器上安装了机架1.4.5的rails 3.2.15。第一台服务器是服务静态资产的nginx代理。第二台服务器是服务于rails应用程序的独角兽。

在Rails production.log中，我总是看到nginx IP地址（10.0.10.150），而不是我的客户端IP地址（10.0.10.62）：

Started GET "/" for 10.0.10.150 at 2013-11-21 13:51:05 +0000

我希望在日志中拥有真实的客户端IP。

我们的设置

在nginx中正确设置了HTTP标头X-Forwarded-For和X-Real-IP，并通过在{{1}中设置10.0.10.62将config.action_dispatch.trusted_proxies = /^127\.0\.0\.1$/定义为不受信任的代理地址}，感谢另一个answer。我可以检查它是否正常工作，因为我将它们记录在应用程序控制器中：

config/environments/production.rb中的

：

app/controllers/application_controller.rb

class ApplicationController < ActionController::Base before_filter :log_ips def log_ips logger.info("request.ip = #{request.ip} and request.remote_ip = #{request.remote_ip}") end end 中的

：

production.log

研究

调查时，我看到Rails::Rack::Logger负责记录IP地址：

request.ip = 10.0.10.150 and request.remote_ip = 10.0.10.62

def started_request_message(request) 'Started %s "%s" for %s at %s' % [ request.request_method, request.filtered_path, request.ip, Time.now.to_default_s ] end 是ActionDispatch::Request的一个实例。它继承了Rack::Request，它定义了如何计算IP地址：

request

转发的IP地址使用def trusted_proxy?(ip) ip =~ /^127\.0\.0\.1$|^(10|172\.(1[6-9]|2[0-9]|30|31)|192\.168)\.|^::1$|^fd[0-9a-f]{2}:.+|^localhost$/i end def ip remote_addrs = @env['REMOTE_ADDR'] ? @env['REMOTE_ADDR'].split(/[,\s]+/) : [] remote_addrs.reject! { |addr| trusted_proxy?(addr) } return remote_addrs.first if remote_addrs.any? forwarded_ips = @env['HTTP_X_FORWARDED_FOR'] ? @env['HTTP_X_FORWARDED_FOR'].strip.split(/[,\s]+/) : [] if client_ip = @env['HTTP_CLIENT_IP'] # If forwarded_ips doesn't include the client_ip, it might be an # ip spoofing attempt, so we ignore HTTP_CLIENT_IP return client_ip if forwarded_ips.include?(client_ip) end return forwarded_ips.reject { |ip| trusted_proxy?(ip) }.last || @env["REMOTE_ADDR"] end 进行过滤。因为我们的nginx服务器使用的是公共IP地址而不是私有IP地址，trusted_proxy?认为它不是代理，而是尝试进行IP欺骗的真实客户端ip。这就是我在日志中看到nginx IP地址的原因。

在日志摘录中，客户端和服务器的IP地址为10.0.10.x，因为我正在使用虚拟机来重现我们的生产环境。

我们当前的解决方案

为了规避这种行为，我写了一个位于app / middleware / remote_ip_logger.rb中的小型Rack中间件：

Rack::Request#ip

我在class RemoteIpLogger def initialize(app) @app = app end def call(env) remote_ip = env["action_dispatch.remote_ip"] Rails.logger.info "Remote IP: #{remote_ip}" if remote_ip @app.call(env) end end 中间件

之后插入它

ActionDispatch::RemoteIp

这样我就可以在日志中看到真正的客户端IP：

config.middleware.insert_after ActionDispatch::RemoteIp, "RemoteIpLogger"

我觉得这个解决方案有点不舒服。 nginx + unicorn是rails应用程序的常见设置。如果我必须自己记录客户端IP，这意味着我错过了一些东西。是因为Nginx服务器在与rails服务器通信时使用公共IP地址？有没有办法自定义Started GET "/" for 10.0.10.150 at 2013-11-21 13:59:06 +0000 Remote IP: 10.0.10.62 的{​​{1}}方法？

已编辑：添加nginx配置和HTTP请求捕获

trusted_proxy?：

Rack::Request

Nginx服务器是/etc/nginx/sites-enabled/site.example.com.conf。 Rails服务器是server { server_name site.example.com; listen 80; location ^~ /assets/ { root /home/deployer/site/shared; expires 30d; } location / { root /home/deployer/site/current/public; try_files $uri @proxy; } location @proxy { access_log /var/log/nginx/site.access.log combined_proxy; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header Host $http_host; proxy_redirect off; proxy_read_timeout 300; proxy_pass http://rails.example.com:8080; } } 。我的计算机是10.0.10.150从我的计算机上执行10.0.10.190时，rails服务器上的10.0.10.62会显示这些请求HTTP标头：

curl http://10.0.10.150/

并且rails日志tcpdump port 8080 -i eth0 -Aq -s 0（远程IP 和 request.ip 行由自定义代码添加）：

GET / HTTP/1.0
X-Forwarded-For: 10.0.10.62
X-Forwarded-Proto: http
Host: 10.0.10.150
Connection: close
User-Agent: curl/7.29.0
Accept: */*

Answer 1

在我看来，你目前的方法是唯一理智的方法。缺少的唯一步骤是覆盖env中的IP地址。

如果您拥有任意数量的代理和负载均衡器层，那么典型的REMOTE_ADDR很少能保留正确的IP，而在这方面您并不是唯一的。每个都可能添加或更改远程IP相关标头。而且你不能假设每个字段必然对应一个IP地址。有些人会将IP推送或取消移动到列表中。

只有一种方法可以确定哪个字段包含正确的值以及如何，这就是潜入那里并查看。你显然已经完成了这件事。现在，只需使用Rack中间件覆盖env['REMOTE_ADDR']及其正确值。让你没有写任何代码的日志或处理错误的IP地址是没有意义的，正如现在所发生的那样。

（这是Ruby，你当然可以修补Rack :: Request，当然......）

对于丰富多彩的阅读，说明不同程度的异国情调设置可能会破坏尝试查找客户端的真实IP地址，例如，请参阅针对WordPress发生的无休止的讨论：

• https://core.trac.wordpress.org/ticket/9235
• https://core.trac.wordpress.org/ticket/4198
• https://core.trac.wordpress.org/ticket/4602

这是PHP，但所提出的要点的要点同样适用于Ruby。 （请注意，在我写这篇文章的时候，它们还没有得到解决，并且它们已经存在了。）

Answer 2

这似乎对我有用。 （在nginx配置中设置）

   proxy_set_header CLIENT_IP $remote_addr;

Answer 3

我遇到了同样的问题，我们的一部分网络客户端在我们的专用网络上访问我们的rails应用程序（Rails 4.2.7），我们得到了错误的IP报告。所以，我想我会添加一些对我们有用的东西来解决问题。

我发现Rails issue 5223提供了一个更好的解决方法，而不是像问题那样双重记录IP。因此，我们通过修补程序Rack来从可信代理列表中删除专用网络，如下所示：

module Rack
  class Request
    def trusted_proxy?(ip)
      ip =~ /^127\.0\.0\.1$/
    end
  end
end

解决了控制器记录错误IP的问题，修复程序的另一半用于确保正确处理request.remote_ip。为此，请将以下内容添加到config / environments / production.rb：

config.action_dispatch.trusted_proxies = [IPAddr.new('127.0.0.1')] 

Answer 4

我面临着同样的问题。为了解决这个问题，我介绍了您的实现，在config/application.rb行的下面进行了修复。

config.middleware.insert_before Rails::Rack::Logger, 'RemoteIpLogger'

无需编写额外的记录器，您将在第一行本身中看到实际的客户端IP。

Started GET "/" for 10.0.10.62 at 2013-11-22 08:01:17 +0000

在app\middleware\remote_ip_logger.rb中。我的HTTP_X_FORWARDED_FOR有一个IP列表，第一个是实际客户的IP。

class RemoteIpLogger
  def initialize(app)
    @app = app
  end

  def call(env)
    if env["HTTP_X_FORWARDED_FOR"]
      remote_ip = env["HTTP_X_FORWARDED_FOR"].split(",")[0]
      env['REMOTE_ADDR'] = env["action_dispatch.remote_ip"] = env["HTTP_X_FORWARDED_FOR"] = remote_ip
      @app.call(env)
    else
      @app.call(env)
    end
  end
end

Answer 5

简短而简单：

request.remote_ip