Ruby 在像nginx这样的代理之后,如何在rails日志中记录真实的客户端ip 问题
我在两台服务器上安装了rails 3.2.15和rack 1.4.5。第一个服务器是一个服务于静态资产的nginx代理。第二台服务器是为rails应用程序服务的独角兽 在RailsRuby 在像nginx这样的代理之后,如何在rails日志中记录真实的客户端ip 问题,ruby,ruby-on-rails-3,logging,nginx,reverse-proxy,Ruby,Ruby On Rails 3,Logging,Nginx,Reverse Proxy,我在两台服务器上安装了rails 3.2.15和rack 1.4.5。第一个服务器是一个服务于静态资产的nginx代理。第二台服务器是为rails应用程序服务的独角兽 在Railsproduction.log中,我总是看到nginx的IP地址(10.0.10.150),而不是我的客户端IP地址(10.0.10.62): 我希望在日志中有真正的客户端IP 我们的设置 HTTP头X-Forwarded-For和X-Real-IP在nginx中设置正确,我通过在config/environments/
production.log
中,我总是看到nginx的IP地址(10.0.10.150),而不是我的客户端IP地址(10.0.10.62):
我希望在日志中有真正的客户端IP
我们的设置
HTTP头X-Forwarded-For
和X-Real-IP
在nginx中设置正确,我通过在config/environments/production.rb
中设置config.action\u dispatch.trusted\u proxy=/^127.0.0\.1$/
将10.0.10.62
定义为不受信任的代理地址,多亏了另一个。我可以检查它是否工作,因为我将它们记录在应用程序控制器中:
在app/controllers/application\u controller.rb
中:
class ApplicationController < ActionController::Base
before_filter :log_ips
def log_ips
logger.info("request.ip = #{request.ip} and request.remote_ip = #{request.remote_ip}")
end
end
调查
调查时,我看到负责记录IP地址的是:
def started_request_message(request)
'Started %s "%s" for %s at %s' % [
request.request_method,
request.filtered_path,
request.ip,
Time.now.to_default_s ]
end
请求
是的一个实例。它继承定义如何计算IP地址的:
def trusted_proxy?(ip)
ip =~ /^127\.0\.0\.1$|^(10|172\.(1[6-9]|2[0-9]|30|31)|192\.168)\.|^::1$|^fd[0-9a-f]{2}:.+|^localhost$/i
end
def ip
remote_addrs = @env['REMOTE_ADDR'] ? @env['REMOTE_ADDR'].split(/[,\s]+/) : []
remote_addrs.reject! { |addr| trusted_proxy?(addr) }
return remote_addrs.first if remote_addrs.any?
forwarded_ips = @env['HTTP_X_FORWARDED_FOR'] ? @env['HTTP_X_FORWARDED_FOR'].strip.split(/[,\s]+/) : []
if client_ip = @env['HTTP_CLIENT_IP']
# If forwarded_ips doesn't include the client_ip, it might be an
# ip spoofing attempt, so we ignore HTTP_CLIENT_IP
return client_ip if forwarded_ips.include?(client_ip)
end
return forwarded_ips.reject { |ip| trusted_proxy?(ip) }.last || @env["REMOTE_ADDR"]
end
转发的IP地址通过受信任的\u代理?
进行过滤。因为我们的nginx服务器使用的是公共IP地址而不是私有IP地址,Rack::Request#IP
认为它不是一个代理,而是试图进行IP欺骗的真正客户端IP。这就是我在日志中看到nginx IP地址的原因
在日志摘录中,客户端和服务器的IP地址为10.0.10.x,因为我使用虚拟机来重现我们的生产环境
我们当前的解决方案
为了避免这种行为,我在app/middleware/remote_ip_logger.rb中编写了一个小型机架中间件:
class RemoteIpLogger
def initialize(app)
@app = app
end
def call(env)
remote_ip = env["action_dispatch.remote_ip"]
Rails.logger.info "Remote IP: #{remote_ip}" if remote_ip
@app.call(env)
end
end
我在ActionDispatch::RemoteIp
中间件之后插入它
config.middleware.insert_after ActionDispatch::RemoteIp, "RemoteIpLogger"
这样,我可以在日志中看到真实的客户端IP:
Started GET "/" for 10.0.10.150 at 2013-11-21 13:59:06 +0000
Remote IP: 10.0.10.62
我对这个解决方案感到有点不舒服。nginx+unicorn是rails应用程序的常见设置。如果我必须自己记录客户端IP,这意味着我错过了一些东西。是因为Nginx服务器在与rails服务器通信时使用了公共IP地址吗?有没有办法定制受信任的\u代理?
机架::请求的方法
已编辑:添加nginx配置和HTTP请求捕获
/etc/nginx/sites enabled/site.example.com.conf
:
server {
server_name site.example.com;
listen 80;
location ^~ /assets/ {
root /home/deployer/site/shared;
expires 30d;
}
location / {
root /home/deployer/site/current/public;
try_files $uri @proxy;
}
location @proxy {
access_log /var/log/nginx/site.access.log combined_proxy;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_redirect off;
proxy_read_timeout 300;
proxy_pass http://rails.example.com:8080;
}
}
Nginx服务器是10.0.10.150
。Rails服务器是10.0.10.190
。执行curl时,我的机器是10.0.10.62
http://10.0.10.150/
在我的机器上,rails服务器上的tcpdump端口8080-i eth0-Aq-s 0显示这些请求HTTP头:
GET / HTTP/1.0
X-Forwarded-For: 10.0.10.62
X-Forwarded-Proto: http
Host: 10.0.10.150
Connection: close
User-Agent: curl/7.29.0
Accept: */*
rails日志/home/deployer/site/current/log/production.log
(远程IP和request.IP行由自定义代码添加):
在我看来,你目前的做法是唯一明智的。缺少的唯一步骤是覆盖
env
中的IP地址
如果你有大量的代理和负载平衡器,那么典型的REMOTE_ADDR很少拥有正确的IP——在这方面你不是独一无二的。每个都可能添加或更改与远程IP相关的头。您不能假设这些字段中的每一个都必须对应于一个IP地址。有些人会将IP推送或取消移动到列表中
只有一种方法可以确定哪个字段保存正确的值以及如何保存,那就是深入其中并查看。你显然已经做过了。现在,只需使用机架中间件用正确的值覆盖env['REMOTE\u ADDR']
。让您没有编写日志或处理错误IP地址的任何代码都没有什么意义,就像现在发生的那样
(这是Ruby,当然也可以使用monkey patch Rack::Request…)
有关说明异国情调的设置在多大程度上会扰乱查找客户真实IP地址的尝试的丰富多彩的阅读资料,请参阅WordPress关于这一点的无休止的讨论:
这是PHP,但提出的要点同样适用于Ruby。(请注意,在我写这篇文章时,这些问题也没有解决,而且它们已经存在了很久。)这似乎对我起到了作用。(在nginx配置中设置)
我遇到了同样的问题,我们的web客户端的一个子集访问我们的专用网络上的rails应用程序(rails 4.2.7),我们得到了错误的IP报告。所以,我想我应该加上对我们有帮助的东西来解决这个问题 我发现这提供了一个比像问题一样双重记录IP更好的解决方法。因此,我们使用monkey patch Rack从可信代理列表中删除专用网络,如下所示:
module Rack
class Request
def trusted_proxy?(ip)
ip =~ /^127\.0\.0\.1$/
end
end
end
这解决了控制器记录错误IP的问题,修复程序的另一半用于确保正确处理请求.remote_IP
。为此,请将以下内容添加到config/environments/production.rb中:
config.action_dispatch.trusted_proxies = [IPAddr.new('127.0.0.1')]
简明扼要:
request.remote_ip
我也面临同样的问题。为了解决这个问题,我参考了您的实现,就在
config/application.rb
中的行下方,将其修复
config.middleware.insert_before Rails::Rack::Logger, 'RemoteIpLogger'
无需编写额外的记录器,您将在第一行中看到实际的客户端IP
Started GET "/" for 10.0.10.62 at 2013-11-22 08:01:17 +0000
在app\middleware\remote\u ip\u logger.rb
中。我的的HTTP_X_FORWARDED_有一个IP列表,第一个是实际客户端的IP
class RemoteIpLogger
def initialize(app)
@app = app
end
def call(env)
if env["HTTP_X_FORWARDED_FOR"]
remote_ip = env["HTTP_X_FORWARDED_FOR"].split(",")[0]
env['REMOTE_ADDR'] = env["action_dispatch.remote_ip"] = env["HTTP_X_FORWARDED_FOR"] = remote_ip
@app.call(env)
else
@app.call(env)
end
end
end
你的nginx是什么config@MohammadAbuShady我更新了问题谢谢你的建议。我只是觉得为这种典型配置定制rails行为很奇怪。我希望rails自动记录这两个ip地址,并认为我配置错误。我认为rails会将其检测为ip欺骗攻击,除非该ip地址在受信任的代理列表中。这是有帮助的,但对我来说-不完全是。我是set
proxy\u set\u header X-Forwarded-For$remote\u addr代码>在位置部分。非常感谢。事实上,那是
request.remote_ip
config.middleware.insert_before Rails::Rack::Logger, 'RemoteIpLogger'
Started GET "/" for 10.0.10.62 at 2013-11-22 08:01:17 +0000
class RemoteIpLogger
def initialize(app)
@app = app
end
def call(env)
if env["HTTP_X_FORWARDED_FOR"]
remote_ip = env["HTTP_X_FORWARDED_FOR"].split(",")[0]
env['REMOTE_ADDR'] = env["action_dispatch.remote_ip"] = env["HTTP_X_FORWARDED_FOR"] = remote_ip
@app.call(env)
else
@app.call(env)
end
end
end