nginx real_ip_header และ X-Forwarded- สำหรับดูเหมือนว่าผิด

คำอธิบายวิกิพีเดียของส่วนหัว HTTP X-Forwarded-Forคือ:

X-Forwarded- สำหรับ: client1, proxy1, proxy2, ...

เอกสารประกอบ nginx สำหรับคำสั่งการreal_ip_headerอ่านส่วนหนึ่ง:

คำสั่งนี้ตั้งชื่อของส่วนหัวที่ใช้สำหรับการถ่ายโอนที่อยู่ IP ทดแทน
ในกรณีของ X-Forwarded-For โมดูลนี้ใช้IP สุดท้ายในส่วนหัว X-Forwarded-For เพื่อทดแทน [เน้นเหมือง]

คำอธิบายทั้งสองนี้ดูขัดแย้งกัน ในสถานการณ์สมมติของเราX-Forwarded-Forส่วนหัวเป็นไปตามที่อธิบายไว้ - ที่อยู่ IP "ของจริง" ของลูกค้าเป็นรายการทางซ้ายสุด ในทำนองเดียวกันพฤติกรรมของ nginx คือการใช้ค่าขวาสุด - ซึ่งแน่นอนว่าเป็นเพียงหนึ่งในพร็อกซีเซิร์ฟเวอร์ของเรา

ความเข้าใจของฉันX-Real-IPคือมันควรจะใช้เพื่อกำหนดที่อยู่ IP ของลูกค้าที่แท้จริง - ไม่ใช่พร็อกซี ฉันขาดอะไรไปหรือว่าเป็นบั๊กใน nginx

และนอกเหนือจากนั้นไม่มีใครมีคำแนะนำสำหรับวิธีการทำให้X-Real-IPส่วนหัวแสดงค่าซ้ายสุดตามที่ระบุโดยคำจำกัดความของX-Forwarded-For?

ฉันเชื่อว่ากุญแจสำคัญในการแก้ปัญหา X-Forwarded-For woes เมื่อหลาย IP ถูกล่ามโซ่เป็นตัวเลือกการกำหนดค่าที่เพิ่งเปิดตัวreal_ip_recursive(เพิ่มใน nginx 1.2.1 และ 1.3.0) จากเอกสาร nginx realip :

หากเปิดใช้การค้นหาแบบเรียกซ้ำที่อยู่ไคลเอ็นต์ดั้งเดิมที่ตรงกับหนึ่งในที่อยู่ที่เชื่อถือได้จะถูกแทนที่ด้วยที่อยู่ที่ไม่น่าเชื่อถือสุดท้ายที่ส่งในฟิลด์ส่วนหัวคำขอ

โดยค่าเริ่มต้น nginx กำลังดึงที่อยู่ IP สุดท้ายในห่วงโซ่เนื่องจากเป็นที่อยู่เดียวที่สันนิษฐานว่าเชื่อถือได้ แต่ด้วยการreal_ip_recursiveเปิดใช้งานใหม่และด้วยหลายset_real_ip_fromตัวเลือกคุณสามารถกำหนดพร็อกซีที่เชื่อถือได้หลายรายการและจะดึง IP ที่ไม่น่าเชื่อถือล่าสุด

ตัวอย่างเช่นด้วยการกำหนดค่านี้:

set_real_ip_from 127.0.0.1;
set_real_ip_from 192.168.2.1;
real_ip_header X-Forwarded-For;
real_ip_recursive on;

และส่วนหัว X-Forwarded-For ทำให้เกิด:

X-Forwarded-For: 123.123.123.123, 192.168.2.1, 127.0.0.1

nginx จะเลือก 123.123.123.123 เป็นที่อยู่ IP ของลูกค้า

สำหรับเหตุผลที่ nginx ไม่เพียงแค่เลือกที่อยู่ IP ซ้ายสุดและต้องการให้คุณกำหนดพร็อกซีที่เชื่อถือได้อย่างชัดเจนเพื่อป้องกันการแอบอ้าง IP ได้ง่าย

สมมติว่าที่อยู่ IP 123.123.123.123จริงของลูกค้าคือ Let 's ยังบอกลูกค้าถึงไม่ดีและพวกเขากำลังพยายามที่จะหลอกที่อยู่ IP 11.11.11.11ของพวกเขาจะ พวกเขาส่งคำขอไปยังเซิร์ฟเวอร์โดยมีส่วนหัวนี้อยู่แล้ว:

X-Forwarded-For: 11.11.11.11

เนื่องจาก reverse proxies เพียงแค่เพิ่ม IP ลงในเชน X-Forwarded-For นี้สมมติว่ามันจะเป็นแบบนี้เมื่อ nginx เข้ามา:

X-Forwarded-For: 11.11.11.11, 123.123.123.123, 192.168.2.1, 127.0.0.1

หากคุณเพียงแค่คว้าที่อยู่ทางซ้ายสุดนั่นจะทำให้ลูกค้าสามารถปลอมแปลงที่อยู่ IP ของพวกเขาได้อย่างง่ายดาย แต่ด้วยตัวอย่างข้างต้นการกำหนดค่า nginx nginx จะไว้วางใจที่อยู่สองรายการสุดท้ายเป็นพร็อกซีเท่านั้น ซึ่งหมายความว่า nginx จะเลือกอย่างถูกต้อง123.123.123.123เป็นที่อยู่ IP แม้ว่า IP ปลอมแปลงนั้นจะอยู่ทางซ้ายสุด

การวิเคราะห์X-Forwarded-Forส่วนหัวนั้นมีข้อบกพร่องในโมดูล nginx real_ip

len = r->headers_in.x_forwarded_for->value.len;
ip = r->headers_in.x_forwarded_for->value.data;

for (p = ip + len - 1; p > ip; p--) {
  if (*p == ' ' || *p == ',') {
    p++;
    len -= p - ip;
    ip = p;
    break;
  }
}

มันเริ่มต้นที่ด้านขวาสุดของสตริงส่วนหัวและทันทีที่เห็นช่องว่างหรือเครื่องหมายจุลภาคหยุดค้นหาและติดชิ้นส่วนทางด้านขวาของช่องว่างหรือเครื่องหมายจุลภาคในตัวแปร IP ดังนั้นจึงเป็นการรักษาที่อยู่พร็อกซี่ล่าสุดเป็นที่อยู่ลูกค้าเดิม

มันไม่ได้เล่นได้ดีตามสเป็ค; นี่คืออันตรายที่ไม่มีการสะกดคำในเงื่อนไขที่ชัดเจนอย่างเจ็บปวดใน RFC

ด้านข้าง:มันยากที่จะหาแหล่งที่มาหลักที่ดีในรูปแบบซึ่งเดิมกำหนดโดย Squid - ขุดผ่านเอกสารของพวกเขายืนยันการสั่งซื้อ; leftmost เป็นไคลเอนต์ดั้งเดิม rightmost คือผนวกล่าสุด ฉันถูกล่อลวงอย่างมากที่จะเพิ่ม[อ้างอิงที่จำเป็น]ไปยังหน้าวิกิพีเดีย ดูเหมือนว่าการแก้ไขที่ไม่ระบุชื่อหนึ่งรายการจะเป็นสิทธิ์ของอินเทอร์เน็ตในหัวเรื่อง

ถ้าเป็นไปได้คุณสามารถให้ผู้รับมอบฉันทะกลางของคุณหยุดเพิ่มตัวเองลงที่ส่วนท้ายของส่วนหัวได้หรือไม่เพียงปล่อยให้มันอยู่กับที่อยู่ลูกค้าจริงเท่านั้น

X-Real-IP เป็นที่อยู่ IP ของไคลเอนต์จริงที่เซิร์ฟเวอร์กำลังพูดถึง (ไคลเอนต์ "ของจริง" ของเซิร์ฟเวอร์) ซึ่งในกรณีของการเชื่อมต่อพร็อกซีเป็นพร็อกซีเซิร์ฟเวอร์ นั่นเป็นเหตุผลที่ X-Real-IP จะมี IP สุดท้ายในส่วนหัว X-Forwarded-For