ip相关

作网站时常常会用到remote_addr和x_forwarded_for这两个头信息来获取客户端的IP，然而当有反向代理或者CDN的状况下，这两个值就不够准确了，须要调整一些配置。

什么是remote_addr

remote_addr表明客户端的IP，但它的值不是由客户端提供的，而是服务端根据客户端的ip指定的，当你的浏览器访问某个网站时，假设中间没有任何代理，那么网站的web服务器（Nginx，Apache等）就会把remote_addr设为你的机器IP，若是你用了某个代理，那么你的浏览器会先访问这个代理，而后再由这个代理转发到网站，这样web服务器就会把remote_addr设为这台代理机器的IP。

什么是x_forwarded_for

正如上面所述，当你使用了代理时，web服务器就不知道你的真实IP了，为了不这个状况，代理服务器一般会增长一个叫作x_forwarded_for的头信息，把链接它的客户端IP（即你的上网机器IP）加到这个头信息里，这样就能保证网站的web服务器能获取到真实IP

使用HAProxy作反向代理

一般网站为了支撑更大的访问量，会增长不少web服务器，并在这些服务器前面增长一个反向代理（如HAProxy），它能够把负载均匀的分布到这些机器上。你的浏览器访问的首先是这台反向代理，它再把你的请求转发到后面的web服务器，这就使得web服务器会把remote_addr设为这台反向代理的IP，为了能让你的程序获取到真实的客户端IP，你须要给HAProxy增长如下配置

option forwardfor

它的做用就像上面说的，增长一个x_forwarded_for的头信息，把你上网机器的ip添加进去

使用Nginx的realip模块

当Nginx处在HAProxy后面时，就会把remote_addr设为HAProxy的IP，这个值实际上是毫无心义的，你能够经过nginx的realip模块，让它使用x_forwarded_for里的值。使用这个模块须要从新编译Nginx，增长--with-http_realip_module参数

set_real_ip_from   10.1.10.0/24;
real_ip_header     X-Forwarded-For;

上面的配置就是把从10.1.10这一网段过来的请求所有使用X-Forwarded-For里的头信息做为remote_addr

将Nginx架在HAProxy前面作HTTPS代理

网站为了安全考虑一般会使用https链接来传输敏感信息，https使用了ssl加密，HAProxy无法直接解析，因此要在HAProxy前面先架台Nginx解密，再转发到HAProxy作负载均衡。这样在Web服务器前面就存在了两个代理，为了能让它获取到真实的客户端IP，须要作如下配置。

首先要在Nginx的代理规则里设定

proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;

这样会让Nginx的https代理增长x_forwarded_for头信息，保存客户的真实IP。

其次修改HAProxy的配置

option     forwardfor except 10.1.10.0/24

这个配置和以前设定的差很少，只是多了个内网的IP段，表示若是HAProxy收到的请求是由内网传过来的话（https代理机器），就不会设定x_forwarded_for的值，保证后面的web服务器拿到的就是前面https代理传过来的。

为何PHP里的HTTP_X_FORWARDED_FOR和Nginx的不同

当你的网站使用了CDN后，用户会先访问CDN，若是CDN没有缓存，则回源站（即你的反向代理）取数据。CDN在回源站时，会先添加x_forwarded_for头信息，保存用户的真实IP，而你的反向代理也会设定这个值，不过它不会覆盖，而是把CDN服务器的IP（即当前remote_addr）添加到x_forwarded_for的后面，这样x_forwarded_for里就会存在两个值。Nginx会使用这些值里的第一个，即客户的真实IP，而PHP则会使用第二个，即CDN的地址。为了能让PHP也使用第一个值，你须要添加如下fastcgi的配置。

fastcgi_param HTTP_X_FORWARDED_FOR $http_x_forwarded_for;

它会把nginx使用的值（即第一个IP）传给PHP，这样PHP拿到的x_forwarded_for里其实就只有一个值了，也就不会用第二个CDN的IP了。

忽略x_forwarded_for

其实，当你使用了Nginx的realip模块后，就已经保证了remote_addr里设定的就是客户端的真实IP，再看下这个配置

set_real_ip_from   10.1.10.0/24;
real_ip_header     X-Forwarded-For;

它就是把x_forwarded_for设为remote_addr，而nginx里的x_forwarded_for取的就是其中第一个IP。

使用这些设置就能保证你的remote_addr里设定的一直都是客户端的真实IP，而x_forwarded_for则能够忽略了:)

---------------------------

php中HTTP_X_FORWARDED_FOR 和 REMOTE_ADDR的使用 
1.REMOTE_ADDR:浏览当前页面的用户计算机的ip地址 
2.HTTP_X_FORWARDED_FOR: 浏览当前页面的用户计算机的网关 
3.HTTP_CLIENT_IP:客户端的ip 

在PHP 中使用 $_SERVER["REMOTE_ADDR"] 来取得客户端的 IP 地址，但若是客户端是使用代理服务器来访问，那取到的就是代理服务器的 IP 地址，而不是真正的客户端 IP 地址。要想透过代理服务器取得客户端的真实 IP 地址，就要使用 $_SERVER["HTTP_X_FORWARDED_FOR"] 来读取。 

不过要注意的事，并非每一个代理服务器都能用 $_SERVER["HTTP_X_FORWARDED_FOR"] 来读取客户端的真实 IP，有些用此方法读取到的仍然是代理服务器的 IP。 

还有一点须要注意的是：若是客户端没有经过代理服务器来访问，那么用$_SERVER["HTTP_X_FORWARDED_FOR"] 取到的值将是空的。 

if ($_SERVER['HTTP_X_FORWARDED_FOR'] && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/',$_SERVER['HTTP_X_FORWARDED_FOR'])) {  
      $onlineip = $_SERVER['HTTP_X_FORWARDED_FOR'];  
} elseif  ($_SERVER['HTTP_CLIENT_IP']  && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/',$_SERVER['HTTP_CLIENT_IP'])) {  
      $onlineip = $_SERVER['HTTP_CLIENT_IP']; 
} 



获取用户IP地址的三个属性的区别 (HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR) 
1、没有使用代理服务 器的状况： 

REMOTE_ADDR = 您的 IP 
HTTP_VIA = 没数值或不显示 
HTTP_X_FORWARDED_FOR = 没数值或不显示 

2、使用透明代理服务器的情 况：Transparent Proxies 

REMOTE_ADDR = 最后一个代理服务器 IP 
HTTP_VIA = 代理服务器 IP 
HTTP_X_FORWARDED_FOR = 您的真实 IP ，通过多个代理服务器时，这个值相似以下：203.98.182.163, 203.98.182.163, 203.129.72.215。 

这类代理服务器仍是将您的信息转发给您的访问对象，没法达到隐藏真实身份的目的。 

3、使用普通匿名代理服务器的状况：Anonymous Proxies 

REMOTE_ADDR = 最后一个代理服务器 IP 
HTTP_VIA = 代理服务器 IP 
HTTP_X_FORWARDED_FOR = 代理服务器 IP ，通过多个代理服务器时，这个值相似以下：203.98.182.163, 203.98.182.163, 203.129.72.215。 

隐藏了您的真实IP，可是向访问对象透露了您是使用代理服务器访问他们的。 

4、使用欺骗性代理服务器的状况：Distorting Proxies 

REMOTE_ADDR = 代理服务器 IP 
HTTP_VIA = 代理服务器 IP 
HTTP_X_FORWARDED_FOR = 随机的 IP ，通过多个代理服务器时，这个值相似以下：203.98.182.163, 203.98.182.163, 203.129.72.215。 

告诉了访问对象您使用了代理服务器，但编造了一个虚假的随机IP代替您的真实IP欺骗它。 

5、使用高匿名代理服务器的状况：High Anonymity Proxies (Elite proxies) 

REMOTE_ADDR = 代理服务器 IP 
HTTP_VIA = 没数值或不显示 
HTTP_X_FORWARDED_FOR = 没数值或不显示 ，通过多个代理服务器时，这个值相似以下：203.98.182.163, 203.98.182.163, 203.129.72.215。 

彻底用代理服务器的信息替代了您的全部信息，就象您就是彻底使用那台代理服务器直接访问对象。 

更多：http://segmentfault.com/q/1010000000095850