Как получить IP пользователя, если сервер за роутером?

Question

[b0n3Z]

Дано:

— Роутер на dd-wrt с полным доступом.

— Сервер с nginx за роутером.

Пробросил порт вебсервера. Смотрю логи nginx — там пишется $remote_addr, а этот параметр равен IP роутера.

Есть ли какой-нибудь способ узнать реальный IP заходящего?

Answer 1

[shadowalone]

По моему, выше отписавшийся товарищ не понял сути.
порт переадресован на рутере с dd-wrt (iptables), то есть Ваш web-сервер не получит реальный адрес по-любому, будь это хоть апачь, хоть эндженкс, хоть еще что.

Так что не заморачивайтесь.
В Вашем случае выход такой — только если есть возможность, поставить на dd-wrt прокси в переадресацией на ваш внутренний web-сервер. Но это если у Вас рутер позволяет.

Comments

[shadowalone]

Rpaf – из заголовка X-Forwarded-for делает REMOTE_ADDR.
А в Вашем случае, такого заголовка нет, и не будет.

[b0n3Z]

Да, в самом деле, посмотрел сейчас — forwarded-for пустой. Спасибо, буду пробовать ставить проксю.

[shadowalone]

X-Forwarded-for у Вас может появится в том лишь случае, при такой схеме, если клиент, который обращается к Вам, за прокси, который передает этот заголовок. Но для Вас это проблемы не решит.

[pwlnw]

А что в dd-wrt какой-то специальный поломанный iptables?
Обычный SNAT модифицирует в пакетах только адрес назначения, а адрес источника остается прежним, то есть информация об IP посетителя не теряется.

[shadowalone]

А Вы не ошибаетесь? :)
к примеру:
iptables -t nat -I POSTROUTING -s 192.168.216.15 -j SNAT --to-source 10.10.10.2
что по Вашему меняется в этой строке? Source NAT — NAT источника.
Если настраивать через web, в dd-wrt, проброс порта идет примерно следующим правилом:
iptables -t nat -I PREROUTING -p tcp -i vlan2 --dport 8080 -j DNAT --to-destination 192.168.10.190:8080

Так что, забудьте про адрес источника.
:)

Answer 2

[r0ster]

Если стоит nginx+apache2, то включен mod_rpaf?

Debian, включаем mod_rpaf:
# a2enmod rpaf

Если не установлен, устанавливаем:
# aptitude install libapache2-mod-rpaf

Затем в /etc/apache2/httpd.conf добавляем:

RPAFenable On
RPAFsethostname Off
RPAFproxy_ips 127.0.0.1 тут_пишем_свой_ip

Перезапускаем Apache2:
# /etc/init.d/apache2 restart
или
# apache2ctl restart

Comments

[b0n3Z]

Стоит только nginx. Без установки apache способа получения нет?
Конкретнее, у меня приложение на django. Nginx к нему проксирует запросы. Поэтому и без апача обхожусь легко.

[r0ster]

Еще нужно создать файл proxy.conf в директории /etc/nginx/

# nano /etc/nginx/proxy.conf

proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;


Дописать инклуд в location виртуального хоста (например, /etc/nginx/sites-available/example.com):

server {
...
server_name_in_redirect off;
...
location / {
...
include /etc/nginx/proxy.conf;
...
}
...
}


И перезпустить Nginx:
# /etc/init.d/nginx restart


[r0ster]

Если не поможет выше, гляньте тут.