
<div dir="ltr">я делал каскадные map-ы (когда переменная задается через переменную, задаваемую другим map-ом).<div><br></div><div>но решение далеко от идеального</div><div><br></div><div>1) требуется правка конфигов и релоад</div><div>2) очень сложно прикручивается эквивалент set_real_ip_from</div><div><br></div><div>возможно, в каком-то приближении, именно за счет маркера "запрос пришел с прокси" или "запрос пришел не с прокси" можно сделать нужный вам map</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">вс, 4 июн. 2023 г. в 20:40, Gena Makhomed <<a href="mailto:gmm@csdoc.com">gmm@csdoc.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Здравствуйте, All!<br>


<br>


Есть такая конфигурация:<br>


<br>


(1) client ==> vps_server ==> main_server<br>


<br>


(2) client ==> cloudflare => vps_server ==> main_server<br>


<br>


vps_server слушает на 80 и 443 портах и через модуль stream проксирует<br>


запроcы на main_server через tcp, передавая на main_server информацию<br>


о реальном IP клинта через proxy_protocol. Все SSL сертификаты<br>


и конфигурации сайтов хранятся при этом только на main_server.<br>


<br>


В первом случае для получения реального IP клиента - в блоке<br>


server надо прописать:<br>


<br>


set_real_ip_from 11.22.33.44;  # IP адрес vps_server<br>


real_ip_header proxy_protocol;<br>


<br>


Во втором случае для получения реального IP клиента - в блоке<br>


server надо прописать:<br>


<br>


set_real_ip_from <a href="http://173.245.48.0/20" rel="noreferrer" target="_blank">173.245.48.0/20</a>;<br>


...<br>


set_real_ip_from 2c0f:f248::/32;<br>


real_ip_header CF-Connecting-IP;<br>


<br>


При этом - в момент включения/выключения cloudflare<br>


для какого-то виртуального хоста - необходимо править<br>


конфиги nginx и делать релоад конфигурации nginx.<br>


<br>


Можно ли без правки исходников nginx используя только функциональность<br>


nginx и модуля njs получить автоматическое определение IP адреса клиента<br>


вне зависимости от того, каким образом пришел запрос - или от клиента<br>


напрямую на IP адерс vps_server, или через cloudflare proxy?<br>


<br>


Если без правки исходников nginx такую функциональность получить нельзя<br>


- как лучше всего написать патч, который реализует логику работы <br>


множественных директив set_real_ip_from и real_ip_header,<br>


таким образом, чтобы не сломать обратную совместимость<br>


со всеми уже существующими конфигурациями nginx?<br>


<br>


Может быть - лучше всего будет сделать в nginx<br>


два варианта директивы real_ip_header - первый<br>


вариант - как сейчас, с одним параметром,<br>


и второй вариант - с тремя параметрами:<br>


<br>


real_ip_header proxy_protocol set_real_ip_from 11.22.33.44;<br>


<br>


real_ip_header CF-Connecting-IP set_real_ip_from <a href="http://173.245.48.0/20" rel="noreferrer" target="_blank">173.245.48.0/20</a>;<br>


<br>


первый вариант, с одним параметром - как и раньше, может быть только <br>


один, а второй вариант - с тремя параметрами может присутствовать в <br>


конфигурации nginx больше одного раза.<br>


<br>


И если обрабатывать расширенные директивы real_ip_header в том порядке,<br>


в котором они встречаются в конфиге - то как раз и будет автоматически<br>


получена необходимая функциональность обработки множественных заголовков<br>


real_ip_header, при этом будет полностью соблюдена<br>


обратная совместимость со всеми текущими конфигурациями nginx,<br>


потому что ни у кого в конфигах сейчас нет директивы<br>


real_ip_header с тремя параметрами.<br>


<br>


Б большинтсве случаев, примерно 80-90% будет использоваться текущий<br>


синтаксис директивы real_ip_header, но при необходимости обработки<br>


нескольких директив real_ip_header - будет использоваться вариант<br>


с тремя параметрами, в оставшихся 10-20% случаев.<br>


<br>


старый синтаксис набора директив<br>


<br>


set_real_ip_from 11.11.11.11;<br>


set_real_ip_from 22.22.22.22;<br>


set_real_ip_from 33.33.33.33;<br>


real_ip_header X-Real-IP;<br>


<br>


может быть автоматически преобразован при чтении конфига<br>


во внутреннее представление аналогичное набору директив:<br>


<br>


real_ip_header X-Real-IP set_real_ip_from 11.11.11.11;<br>


real_ip_header X-Real-IP set_real_ip_from 22.22.22.22;<br>


real_ip_header X-Real-IP set_real_ip_from 33.33.33.33;<br>


<br>


- так что в nginx нужно будет реализовать только один вариант кода<br>


для обработки "расширенного" варианта конфига, с тремя директивами.<br>


<br>


Или существует какой-то еще лучший вариант решения этой задачи?<br>


<br>


-- <br>


Best regards,<br>


  Gena<br>


_______________________________________________<br>


nginx-ru mailing list<br>


<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>


<a href="https://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">https://mailman.nginx.org/mailman/listinfo/nginx-ru</a><br>


</blockquote></div>