Почему nginx выделяет игрокам localip?

Question

[nilas]

у игроков на сервере y всех игроков одинаковый Ip:192.168.1.100, можно сделать чтобы брался внешний IP игроков и передавался на сервер?
В nginx.conf самый вниз добавил:
stream {
server {
listen 25565;

proxy_pass 192.168.1.100:25565;
}
}

Comments

[Lynn «Кофеман»]

Теоретически nginx может оставить исходный ip, но вам потом придётся залезть в «кишки» сетевого стека и на сервере с nginx и на сервере с minecraft что бы это всё заработало. Оно вам надо?

[nilas]

Lynn «Кофеман», тогда какие аналоги nginx есть? кроме медленных средств по типу iptables

[Lynn «Кофеман»]

nilas, с чего это iptables стал медленным?

[nilas]

Lynn «Кофеман», потому что это файрволл он не предназначен для проброса большого трафика

[Lynn «Кофеман»]

https://www.nginx.com/blog/ip-transparency-direct-...

[nilas]

Lynn «Кофеман», о чем эта статья?

[Lynn «Кофеман»]

nilas, о том как пробросить исходный IP и сколько нетривиальных усилий (а так же понимания) для этого нужно.

[nilas]

Lynn «Кофеман», так там для сайта поясняется а не для minecraft

[Lynn «Кофеман»]

nilas, а если подумать, то можно понять что там речь о TCP и UDP вообще без привязки к http…

Там вообще один из примеров про DNS-трафик…

[nilas]

Lynn «Кофеман», # in the 'http' context
server {
listen 80;

location / {
proxy_pass http_upstreams;
}
}

upstream http_upstreams {
server 172.16.0.11;
server 172.16.0.12;
server 172.16.0.13;
server 172.16.0.14;
}
где ты там увидел за TCP + udp?

[Lynn «Кофеман»]

nilas, всё то же самое с небольшими изменениями можно написать в контексте stream.
proxy_bind там есть, а конфиг iptables/ip вообще от этого не зависит.

В общем, если подумать и разобраться, то там все основные идеи описаны.

А если надо готовое решение, то https://freelance.habr.com/

Answer 1

[SagePtr]

В случае, если там используется протокол HTTP - то необходимо передавать IP отдельным HTTP-заголовком, например, X-Real-IP.
proxy_set_header X-Real-IP $remote_addr;
На стороне сервера - читать этот заголовок и использовать его для идентификации игроков по IP, но при этом или убедиться, что сервер недоступен напрямую без nginx (чтобы злоумышленники не смогли скормить ему левый IP через этот заголовок), либо доверять заголовку только в случае, если IP принадлежит серверу nginx, иначе не заменять IP.

Comments

[nilas]

nginx у меня на вдс стоит а сервер на домашнем пк, пк с вдс соединен в единую сеть через wireguard.
так nginx надо ставить нa вдс + хоум пк или как?

[SagePtr]

nilas, не обязательно

[nilas]

SagePtr, так как тогда делать?

[SagePtr]

nilas, читайте документацию к вашему игровому серверу, как его использовать в паре с обратным прокси. Если сервер с открытым исходным кодом - то можно и самостоятельно прикрутить к нему костыль, если он не умеет доверять обратному прокси и выставлять IP-адреса по HTTP-заголовку от него.

[nilas]

SagePtr, сервер по игре minecraft

[mureevms]

nilas, вам сказали в ответе, что надо сделать, пробовали?
proxy_set_header X-Real-IP $remote_addr;

[nilas]

mureevms, куда это вбивать я не понимаю.
если ты такой знающий то сконфигурируй:
stream {
server {
listen 25565;

proxy_pass 10.228.228.2:25565;
}
}

[mureevms]

nilas,

stream {
server {
  listen 25565;

  proxy_pass 10.228.228.2:25565;
  proxy_set_header X-Real-IP $remote_addr;
  
  }
}

[nilas]

mureevms, не хочет работать, вот что пишет:
Aug 10 03:34:47 ip-172-26-6-29 nginx[1170]: nginx: configuration file /etc/ngin>
Aug 10 03:34:47 ip-172-26-6-29 systemd[1]: nginx.service: Control process exite>
-- Subject: Unit process exited
-- Defined-By: systemd
-- Support: www.ubuntu.com/support
--
-- An ExecStartPre= process belonging to unit nginx.service has exited.
--
-- The process' exit code is 'exited' and its exit status is 1.
Aug 10 03:34:47 ip-172-26-6-29 systemd[1]: nginx.service: Failed with result 'e>
-- Subject: Unit failed
-- Defined-By: systemd
-- Support: www.ubuntu.com/support
--
-- The unit nginx.service has entered the 'failed' state with result 'exit-code>
Aug 10 03:34:47 ip-172-26-6-29 systemd[1]: Failed to start A high performance w>
-- Subject: A start job for unit nginx.service has failed
-- Defined-By: systemd
-- Support: www.ubuntu.com/support
--
-- A start job for unit nginx.service has finished with a failure.
--
-- The job identifier is 888 and the job result is failed.
lines 2926-2948/2948 (END)
Aug 10 03:34:47 ip-172-26-6-29 nginx[1170]: nginx: configuration file /etc/nginx/nginx.conf test failed
Aug 10 03:34:47 ip-172-26-6-29 systemd[1]: nginx.service: Control process exited, code=exited, status=1/FAILURE
-- Subject: Unit process exited
-- Defined-By: systemd
-- Support: www.ubuntu.com/support
--
-- An ExecStartPre= process belonging to unit nginx.service has exited.
--
-- The process' exit code is 'exited' and its exit status is 1.
Aug 10 03:34:47 ip-172-26-6-29 systemd[1]: nginx.service: Failed with result 'exit-code'.
-- Subject: Unit failed
-- Defined-By: systemd
-- Support: www.ubuntu.com/support
--
-- The unit nginx.service has entered the 'failed' state with result 'exit-code'.
Aug 10 03:34:47 ip-172-26-6-29 systemd[1]: Failed to start A high performance web server and a reverse proxy server.
-- Subject: A start job for unit nginx.service has failed
-- Defined-By: systemd
-- Support: www.ubuntu.com/support
--
-- A start job for unit nginx.service has finished with a failure.
--
-- The job identifier is 888 and the job result is failed.

[nilas]

mureevms, конфиг:
user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;

events {
worker_connections 768;
# multi_accept on;
}

http {

##
# Basic Settings
##

sendfile on;
tcp_nopush on;
types_hash_max_size 2048;
# server_tokens off;

# server_names_hash_bucket_size 64;
# server_name_in_redirect off;

include /etc/nginx/mime.types;
default_type application/octet-stream;

##
# SSL Settings
##

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;

##
# Logging Settings
##

access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;

##
# Gzip Settings
##

gzip on;

# gzip_vary on;
# gzip_proxied any;
# gzip_comp_level 6;
# gzip_buffers 16 8k;
# gzip_http_version 1.1;
# gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

##
# Virtual Host Configs
##

include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}

#mail {
# # See sample authentication script at:
# # wiki.nginx.org/ImapAuthenticateWithApachePhpScript
#
# # auth_http localhost/auth.php;
# # pop3_capabilities "TOP" "USER";
# # imap_capabilities "IMAP4rev1" "UIDPLUS";
#
# server {
# listen localhost:110;
# protocol pop3;
# proxy on;
# }
#
# server {
# listen localhost:143;
# protocol imap;
# proxy on;
# }
#}

stream {
server {
listen 25565;

proxy_pass 10.228.228.2:25565;
proxy_set_header X-Real-IP $remote_addr;

}
}

[Lynn «Кофеман»]

SagePtr, mureevms,
В stream нет никаких заголовков и, соответственно, директивы proxy_set_header

[mureevms]

Lynn «Кофеман», Действительно, спасибо.
nilas, Если там не http, зачем был выбран nginx? Надо просто перенаправить порты на нужный хост

[nilas]

mureevms, если не nginx тогда что?

[mureevms]

nilas, https://linux16.ru/notes/probros-portov-na-drugoj-...

[nilas]

mureevms, iptables медленее же будет

[nilas]

Lynn «Кофеман», https://github.com/Racer159/minecraft-reverse-prox... а это должно работать?

[Lynn «Кофеман»]

nilas, нет

Mikecraft точно так же будет видеть только один ip

[nilas]

Lynn «Кофеман», поставил socat все так же у игроков 10.228.228.1 выделяется

[SagePtr]

nilas, в смысле "iptables медленнее"? Он на уровне ядра работает, уж точно быстрее любого прикладного решения должен работать.

[nilas]

SagePtr, а как тогда пробросить в нем? пытался чет не вышло не так что делал?