Apache前端使用SLB 7层转发,获取客户端真实IP的方法

Apache 前端使用负载均衡SLB 7层(http/https)转发,Apache如何获取客户端真实IP?

答案是通过HTTP头中的X-Forwarded-For 进行获取,SLB相当于一个代理,在转发HTTP请求时,会把客户端真实IP地址,加入到 X-Forwarded-For ,ECS上的Apache,可以进行配置取出X-Forwarded-For 记录的客户端真实ip。

下面介绍Apache如何进行配置。

需要安装一个Apache的第三方模块:mod_rpaf
这个模块也有好几个版本,建议安装 github上的:https://github.com/y-ken/mod_rpaf
好处是这个版本的模块,配置时支持IP段匹配的方式
(Support for partial IP address as '192.168.' for RPAFproxy_ips.)

以Centos6.8 yum安装的Apache为例 。
其他系统的安装方法,可以参考github上说明 https://github.com/y-ken/mod_rpaf
1、执行命令安装模块mod_rpaf

yum localinstall http://y-ken.github.com/package/centos/6/x86_64/mod_rpaf-fork-0.6-5.el6.x86_64.rpm

安装后会自动生成mod_rpaf的配置文件

/etc/httpd/conf.d/rpaf.conf

模块放在

/etc/httpd/modules/mod_rpaf-2.0.so

检查配置文件和模块都有了,说明已经正常安装成功。

ls /etc/httpd/conf.d/rpaf.conf 
ls /etc/httpd/modules/mod_rpaf-2.0.so

2、接下来修改模块 mod_rpaf 的配置文件

vi  /etc/httpd/conf.d/rpaf.conf

在默认配置的基础上,修改2行配置 RPAFproxy_ips 和 RPAFsethostname

RPAFproxy_ips: 设置SLB的内网IP地址,ip地址信息参考:https://help.aliyun.com/document_detail/27660.html
设置的IP地址可以用IP段的形式,多个IP之间空格隔开,注意SLB的内网IP段掩码,其中有 10 位和 15 位的掩码 100.64.0.0/10 ,100.116.0.0/15   可以合并可以写成  100. 

RPAFsethostname: 修改为On

修改后的配置内容

LoadModule rpaf_module modules/mod_rpaf-2.0.so
RPAFenable On
RPAFproxy_ips 10.158. 10.159. 10.49. 100. 100.109. 100.97. 
RPAFheader X-Forwarded-For
RPAFsethostname On
RPAFsethttps Off
RPAFsetport Off

3、修改完配置后,重启Apache

service  httpd restart

然后查看Apache的访问日志,已经可以正常记录客户端真实访问Ip。

其中 HEAD / HTTP/1.0  是SLB的健康检查,

100.116.186.58 - - [20/Sep/2017:11:42:48 +0800] "HEAD / HTTP/1.0" 200 - "-" "-"
100.116.209.46 - - [20/Sep/2017:11:42:48 +0800] "HEAD / HTTP/1.0" 200 - "-" "-"
117.73.243.50 - - [20/Sep/2017:11:42:49 +0800] "GET / HTTP/1.0" 304 - "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"
![_](https://yqfile.alicdn.com/bc588aa4707c27c44637fb72f03835179654b8e8.png)
上一篇:冬季实战营学习报告


下一篇:iptables防火墙规则导致端口不通的案例分析