Nginx 從 Cloudflare 獲取 Source IP 及寫入 logs

如果你有使用 Cloudflare 應該就會發現抓到的 source IP 都是錯的，這是由於你在前端加了一個 Proxy (Cloudflare) 必須 read ip from Cloudflare

 

在之前有寫到如何從 Proxy 獲取 Source IP：CentOS 6 安裝 Nginx Cache Reverse Proxy + Purge plugin

 

那麼 Cloudflare 要如何知道 Proxy IP 以及 real_ip_header

 

在官方文件提供這方面的資訊，但隨著 Cloudflare 的擴大所用的網段可能會增減，這是必須要注意的

set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 199.27.128.0/21;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2405:8100::/32;

# use any of the following two
real_ip_header CF-Connecting-IP;
#real_ip_header X-Forwarded-For;

 

如果你原本已經有了 X-Forwarded-For，可以再新增一筆 CF-Connecting-IP header 就可以完整的獲取到 source ip 了

 

要加入 log_format 可以使用 $http_cf_connecting_ip 和 $http_x_forwarded_for 用以驗證。

 

 

參考資料：

How do I restore original visitor IP with Nginx?