<h1 id="%E3%81%93%E3%81%AE%E8%A8%98%E4%BA%8B%E3%81%AF%E4%BD%95%EF%BC%9F">
<a class="header-anchor-link" href="#%E3%81%93%E3%81%AE%E8%A8%98%E4%BA%8B%E3%81%AF%E4%BD%95%EF%BC%9F" aria-hidden="true"></a> この記事は何？</h1>
<p>この記事は、Webサーバの前段にロードバランサやリバースプロキシを置いた場合に、Webサーバに記録するアクセスログのリクエストの送信元IPアドレスをクライアントのIPアドレスにする際によく使われるNginxモジュール <code>ngx_http_realip_module</code> についてハンズオン形式で挙動を確かめながら理解を深めようといったことを狙いにした記事です。</p>
<h1 id="%E3%81%93%E3%81%AE%E8%A8%98%E4%BA%8B%E3%81%8C%E5%AF%BE%E8%B1%A1%E3%81%A8%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E8%AA%AD%E8%80%85">
<a class="header-anchor-link" href="#%E3%81%93%E3%81%AE%E8%A8%98%E4%BA%8B%E3%81%8C%E5%AF%BE%E8%B1%A1%E3%81%A8%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E8%AA%AD%E8%80%85" aria-hidden="true"></a> この記事が対象としている読者</h1>
<ul>
<li>アクセスログに記録されているリクエストの接続元IPアドレスが、ロードバランサやリバースプロキシのIPアドレスになっている状態からクライアントのIPアドレスに変更したいと考えており、そのために<br>
<code>ngx_http_realip_module</code> を使えばいいことは分かっているが、 <code>ngx_http_realip_module</code> がよく分かっていない方。</li>
</ul>
<h1 id="%E7%B5%90%E8%AB%96">
<a class="header-anchor-link" href="#%E7%B5%90%E8%AB%96" aria-hidden="true"></a> 結論</h1>
<ul>
<li>
<code>ngx_http_realip_module</code> とは、クライアントアドレスとオプションのポートを、 指定されたヘッダーフィールドで送られるものに変更するモジュールである。</li>
<li>
<code>ngx_http_realip_module</code> モジュールは、<code>set_real_ip_from</code>, <code>real_ip_header</code>, <code>real_ip_recursive</code> の3つのディレクティブがある。</li>
<li>
<code>set_real_ip_from</code> ディレクティブは、実際のクライアントのIPアドレスを指定するために信頼できるソース（通常はプロキシサーバーまたはロードバランサー）のIPアドレス範囲を定義する。</li>
<li>
<code>real_ip_header</code> ディレクティブは、クライアントの実際のIPアドレスを含むリクエストヘッダーを定義する。</li>
<li>
<code>real_ip_recursive</code> ディレクティブは、複数のプロキシを通過したリクエストの場合に、どのIPアドレスをクライアントの実際のIPアドレスとみなすかの判断を定義する。</li>
</ul>
<hr>
<h1 id="%E7%92%B0%E5%A2%83%E6%A7%8B%E7%AF%89">
<a class="header-anchor-link" href="#%E7%92%B0%E5%A2%83%E6%A7%8B%E7%AF%89" aria-hidden="true"></a> 環境構築</h1>
<p>ハンズオンではあらかじめ用意したコンテナで構築した環境を使用します。そのため、dockerコマンドが使える環境である必要があります。<br>
もし、dockerコマンドが使えない場合は、以下を参考に設定を行なってください。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__e094df1a3531f" src="https://embed.zenn.studio/card#zenn-embedded__e094df1a3531f" data-content="https%3A%2F%2Fdocs.docker.com%2Fget-docker%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.docker.com/get-docker/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.docker.com/get-docker/</a></p>
<p>環境は以下のコマンドを実行して、リポジトリをクローンしてください。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">git</span> clone https://github.com/TowaYamashita/proxy-nginx-practice.git
<span class="token builtin class-name">cd</span> proxy-nginx-practice
</code></pre></div><p>環境の概要は以下のとおりです。</p>
<h2 id="compose.yaml(%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%E3%82%B5%E3%83%BC%E3%83%90%E3%81%8C1%E3%81%A4)">
<a class="header-anchor-link" href="#compose.yaml(%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%E3%82%B5%E3%83%BC%E3%83%90%E3%81%8C1%E3%81%A4)" aria-hidden="true"></a> compose.yaml(プロキシサーバが1つ)</h2>
<ul>
<li>client: アクセス元</li>
<li>proxy-server-1: backendへリクエストを転送するリバースプロキシサーバー</li>
<li>backend: 転送先のサーバ</li>
</ul>
<span class="embed-block zenn-embedded zenn-embedded-mermaid"><iframe id="zenn-embedded__33f9940999b3b" src="https://embed.zenn.studio/mermaid#zenn-embedded__33f9940999b3b" data-content="flowchart%20LR%0A%20%20Client%5B%22client(172.20.0.2%2F32)%22%5D--%3ELB1%5B%22proxy-server-1(172.20.0.3%2F32)%22%5D%0A%20%20LB1%20--%3E%20Server%5B%22backend(172.20.0.5%2F32)%22%5D" frameborder="0" scrolling="no" loading="lazy"></iframe></span><h2 id="compose-multi-proxy.yaml(%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%E3%82%B5%E3%83%BC%E3%83%90%E3%81%8C%E8%A4%87%E6%95%B0)">
<a class="header-anchor-link" href="#compose-multi-proxy.yaml(%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%E3%82%B5%E3%83%BC%E3%83%90%E3%81%8C%E8%A4%87%E6%95%B0)" aria-hidden="true"></a> compose-multi-proxy.yaml(プロキシサーバが複数)</h2>
<ul>
<li>client: アクセス元</li>
<li>proxy-server-1,proxy-server-2: backendへリクエストを転送するリバースプロキシサーバー</li>
<li>backend: 転送先のサーバ</li>
</ul>
<span class="embed-block zenn-embedded zenn-embedded-mermaid"><iframe id="zenn-embedded__6e097b7ac8b3a" src="https://embed.zenn.studio/mermaid#zenn-embedded__6e097b7ac8b3a" data-content="flowchart%20LR%0A%20%20Client%5B%22client(172.20.0.2%2F32)%22%5D--%3ELB1%5B%22proxy-server-1(172.20.0.3%2F32)%22%5D%0A%20%20LB1--%3E%20LB2%5B%22proxy-server-2(172.20.0.4%2F32)%22%5D%0A%20%20LB2%20--%3E%20Server%5B%22backend(172.20.0.5%2F32)%22%5D" frameborder="0" scrolling="no" loading="lazy"></iframe></span><h1 id="%E3%83%8F%E3%83%B3%E3%82%BA%E3%82%AA%E3%83%B31%3A-set_real_ip_from-%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%86%E3%82%A3%E3%83%96%2C-real_ip_header-%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%86%E3%82%A3%E3%83%96">
<a class="header-anchor-link" href="#%E3%83%8F%E3%83%B3%E3%82%BA%E3%82%AA%E3%83%B31%3A-set_real_ip_from-%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%86%E3%82%A3%E3%83%96%2C-real_ip_header-%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%86%E3%82%A3%E3%83%96" aria-hidden="true"></a> ハンズオン1: set_real_ip_from ディレクティブ, real_ip_header ディレクティブ</h1>
<h2 id="%E6%A6%82%E8%A6%81">
<a class="header-anchor-link" href="#%E6%A6%82%E8%A6%81" aria-hidden="true"></a> 概要</h2>
<ul>
<li>
<p>set_real_ip_from</p>
<ul>
<li>実際のクライアントのIPアドレスを指定するために信頼できるソース（通常はプロキシサーバーまたはロードバランサー）のIPアドレス範囲を定義する。</li>
<li>set_real_ip_fromを使用して指定されたIPアドレスからのリクエストの場合のみ、NginxはX-Forwarded-Forヘッダー（またはreal_ip_headerで指定された他のヘッダー）の内容を信頼して、クライアントのIPアドレスを置き換える。</li>
</ul>
</li>
<li>
<p>real_ip_header</p>
<ul>
<li>クライアントのIPアドレスを置き換えるために使用されるリクエストヘッダーフィールドを定義する。</li>
<li>Nginxはこのディレクティブで定義されたヘッダーを使用して、リクエストを行った元のクライアントのIPアドレスを特定する。</li>
</ul>
</li>
</ul>
<h2 id="%E5%8B%95%E4%BD%9C%E7%A2%BA%E8%AA%8D">
<a class="header-anchor-link" href="#%E5%8B%95%E4%BD%9C%E7%A2%BA%E8%AA%8D" aria-hidden="true"></a> 動作確認</h2>
<ol>
<li>以下のコマンドを実行して、環境を立ち上げる。</li>
</ol>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">docker</span> compose up <span class="token parameter variable">-d</span>
</code></pre></div><ol start="2">
<li>以下のコマンドを実行して、クライアントからリバースプロキシに対してリクエストを投げる。</li>
</ol>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">docker</span> compose <span class="token builtin class-name">exec</span> client <span class="token function">curl</span> http://172.20.0.3:80/index.html
</code></pre></div><ol start="3">
<li>以下のコマンドを実行して、転送先のサーバのアクセスログを表示する</li>
</ol>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">docker</span> compose logs backend <span class="token parameter variable">-n</span> <span class="token number">1</span>
</code></pre></div><p>以下のように、<strong>リクエストの送信元IPアドレスがクライアントのIPアドレスになっていること</strong> を確認する。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">backend-1  <span class="token operator">|</span> <span class="token number">172.20</span>.0.2 - - <span class="token punctuation">[</span><span class="token number">24</span>/Mar/2024:22:22:39 +0000<span class="token punctuation">]</span> <span class="token string">"GET /index.html HTTP/1.0"</span> <span class="token number">200</span> <span class="token number">135</span> <span class="token string">"-"</span> <span class="token string">"curl/8.6.0"</span> <span class="token string">"172.20.0.2"</span>
</code></pre></div><p>以下のコマンドを実行して、環境を破棄する。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">docker</span> compose down
</code></pre></div><h1 id="%E3%83%8F%E3%83%B3%E3%82%BA%E3%82%AA%E3%83%B32%3A-real_ip_recursive-%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%86%E3%82%A3%E3%83%96">
<a class="header-anchor-link" href="#%E3%83%8F%E3%83%B3%E3%82%BA%E3%82%AA%E3%83%B32%3A-real_ip_recursive-%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%86%E3%82%A3%E3%83%96" aria-hidden="true"></a> ハンズオン2: real_ip_recursive ディレクティブ</h1>
<h2 id="%E6%A6%82%E8%A6%81-1">
<a class="header-anchor-link" href="#%E6%A6%82%E8%A6%81-1" aria-hidden="true"></a> 概要</h2>
<ul>
<li>real_ip_recursive
<ul>
<li>off の場合、信頼できるアドレスの1つと一致する元のクライアントアドレスは、real_ip_headerディレクティブで定義されたリクエストヘッダーフィールドに送信された最後のアドレスに置き換えられる。</li>
<li>on の場合、信頼できるアドレスの1つと一致する元のクライアントアドレスは、リクエストヘッダーフィールドに送信された最後の信頼できないアドレスに置き換えられる。</li>
</ul>
</li>
</ul>
<h2 id="%E5%8B%95%E4%BD%9C%E7%A2%BA%E8%AA%8D-1">
<a class="header-anchor-link" href="#%E5%8B%95%E4%BD%9C%E7%A2%BA%E8%AA%8D-1" aria-hidden="true"></a> 動作確認</h2>
<h3 id="real_ip_recursive%3A-on-%E3%81%AE%E5%A0%B4%E5%90%88">
<a class="header-anchor-link" href="#real_ip_recursive%3A-on-%E3%81%AE%E5%A0%B4%E5%90%88" aria-hidden="true"></a> real_ip_recursive: on の場合</h3>
<ol>
<li>以下のコマンドを実行して、環境を立ち上げる。</li>
</ol>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">docker</span> compose <span class="token parameter variable">--file</span> compose-multi-proxy.yaml up <span class="token parameter variable">-d</span> 
</code></pre></div><ol start="2">
<li>以下のコマンドを実行して、クライアントからリバースプロキシに対してリクエストを投げる。</li>
</ol>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">docker</span> compose <span class="token parameter variable">--file</span> compose-multi-proxy.yaml <span class="token builtin class-name">exec</span> client <span class="token function">curl</span> http://172.20.0.3:80/index.html
</code></pre></div><ol start="3">
<li>以下のコマンドを実行して、転送先のサーバのアクセスログを表示する</li>
</ol>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">docker</span> compose <span class="token parameter variable">--file</span> compose-multi-proxy.yaml logs backend <span class="token parameter variable">-n</span> <span class="token number">1</span>
</code></pre></div><p>以下のように、<strong>リクエストの送信元IPアドレスがクライアントのIPアドレスになっていること</strong> を確認する。</p>
<div class="code-block-container"><pre><code>backend-1  | 172.20.0.2 - - [24/Mar/2024:22:04:47 +0000] "GET /index.html HTTP/1.0" 200 135 "-" "curl/8.6.0" "172.20.0.2, 172.20.0.3"
</code></pre></div><p>以下のコマンドを実行して、環境を破棄する。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">docker</span> compose <span class="token parameter variable">--file</span> compose-multi-proxy.yaml down
</code></pre></div><h3 id="real_ip_recursive%3A-off-%E3%81%AE%E5%A0%B4%E5%90%88">
<a class="header-anchor-link" href="#real_ip_recursive%3A-off-%E3%81%AE%E5%A0%B4%E5%90%88" aria-hidden="true"></a> real_ip_recursive: off の場合</h3>
<ol>
<li>conf/backend/conf.d/proxy.conf の 8行目を以下のように変更する</li>
</ol>
<div class="code-block-container"><pre class="language-conf"><code class="language-conf">real_ip_recursive off;
</code></pre></div><ol start="2">
<li>以下のコマンドを実行して、環境を立ち上げる。</li>
</ol>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">docker</span> compose <span class="token parameter variable">--file</span> compose-multi-proxy.yaml up <span class="token parameter variable">-d</span> 
</code></pre></div><ol start="3">
<li>以下のコマンドを実行して、クライアントからリバースプロキシに対してリクエストを投げる。</li>
</ol>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">docker</span> compose <span class="token parameter variable">--file</span> compose-multi-proxy.yaml <span class="token builtin class-name">exec</span> client <span class="token function">curl</span> http://172.20.0.3:80/index.html
</code></pre></div><ol start="4">
<li>以下のコマンドを実行して、転送先のサーバのアクセスログを表示する</li>
</ol>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">docker</span> compose <span class="token parameter variable">--file</span> compose-multi-proxy.yaml logs backend <span class="token parameter variable">-n</span> <span class="token number">1</span>
</code></pre></div><p>以下のように、<strong>リクエストの送信元IPアドレスが一段目のリバースプロキシのIPアドレスになっていること</strong> を確認する。</p>
<div class="code-block-container"><pre><code>backend-1  | 172.20.0.3 - - [24/Mar/2024:22:04:47 +0000] "GET /index.html HTTP/1.0" 200 135 "-" "curl/8.6.0" "172.20.0.2, 172.20.0.3"
</code></pre></div><p>以下のコマンドを実行して、環境を破棄する。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">docker</span> compose <span class="token parameter variable">--file</span> compose-multi-proxy.yaml down
</code></pre></div><h1 id="%E9%96%A2%E9%80%A3%E8%B3%87%E6%96%99">
<a class="header-anchor-link" href="#%E9%96%A2%E9%80%A3%E8%B3%87%E6%96%99" aria-hidden="true"></a> 関連資料</h1>
<ul>
<li><a href="http://nginx.org/en/docs/http/ngx_http_realip_module.html" target="_blank" rel="nofollow noopener noreferrer">http://nginx.org/en/docs/http/ngx_http_realip_module.html</a></li>
<li><a href="https://christina04.hatenablog.com/entry/2016/10/25/190000" target="_blank" rel="nofollow noopener noreferrer">https://christina04.hatenablog.com/entry/2016/10/25/190000</a></li>
<li><a href="https://qiita.com/tjun/items/f6e68924cf6bb616e4ec" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/tjun/items/f6e68924cf6bb616e4ec</a></li>
</ul>


ngx_http_realip_module の動作をハンズオンで学ぼう

この記事が対象としている読者

compose.yaml(プロキシサーバが1つ)

compose-multi-proxy.yaml(プロキシサーバが複数)

ハンズオン1: set_real_ip_from ディレクティブ, real_ip_header ディレクティブ

ハンズオン2: real_ip_recursive ディレクティブ

Discussion