reverse proxy が置いてある環境では、放っておいたらバックエンドの nginx のログではアクセス元の IP が全部 reverse proxy の IP になってしまいますよね。これをなんとかしましょう、というおはなしです。
フロント(reverse proxy)もバックエンドも nginx を使用する前提です。
nginx.conf に、こんな設定を入れます。
location / {
proxy_pass http://backend/
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
:
:
バックエンドに投げるリクエストのヘッダに X-Forwarded-For を追加して、そこにアクセス元のリアル IP を詰めるようにする設定です。
フロントが X-Forwarded-For に詰めてくれたリアル IP を、ログの表示に使っている $remote_addr に使用するような設定を入れます。
この設定は nginx が http_realip_module 付きで make されている必要があります。gentoo ならこんな感じです。
# USE=realip emerge -av nginx
さてバックエンド側の nginx.conf にこんな設定を入れます。
http {
set_real_ip_from rev.proxy.ip.addr/32;
real_ip_header X-Forwarded-For;
:
:
この項目は http server location のどこにでも置けるようです。Module ngx_http_realip_module
英語の説明もイマイチよくわからない1)のですが、ここにはフロントの IP アドレスを設定します。要は、いままでバックエンド側のログに表示されていたアクセス元の IP ですね。
これは、先にフロント側で設定しておいた X-Forwarded-For ですね。リアル IP が入っているリクエストヘッダの名前を指定します。
フロントとバックエンドの両方で、nginx の設定を反映させます。
# nginx -t # systemctl restart nginx