cloudflare 代理后面的 nginx GEOIP 显示错误的国家/地区(不是最终用户,而是代理)

cloudflare 代理后面的 nginx GEOIP 显示错误的国家/地区(不是最终用户,而是代理)

我正在使用 Cloudflare 和 nginx geoip 指令:

geoip_country /usr/local/share/GeoIP/GeoIP.dat;
geoip_city /usr/local/share/GeoIP/GeoLiteCity.dat;

他们选择了 IP OK(因为pipaddress请求在标题中被标记为转发),但显示的国家/地区为 SG(cloudflare 代理位置)。

如果设置了标题HTTP_X_FORWARDED_FOR,是否有办法获取最终用户的国家?

<?php
    if (getenv(HTTP_X_FORWARDED_FOR))
    {
        $pipaddress = getenv(HTTP_X_FORWARDED_FOR);
        $ipaddress = getenv(REMOTE_ADDR);
        echo "Your IP address is : ".$pipaddress. " (via proxy $ipaddress) " ;
    }
    else
    {
        $ipaddress = getenv(REMOTE_ADDR);
        echo "Your IP address is : $ipaddress";
    }

    $country = getenv(GEOIP_COUNTRY_NAME);
    $country_code = getenv(GEOIP_COUNTRY_CODE);
    echo "<br/>Your country : $country ( $country_code ) ";
?>

以下/etc/nginx/fastcgi_params是:

fastcgi_param  QUERY_STRING       $query_string;
fastcgi_param  REQUEST_METHOD     $request_method;
fastcgi_param  CONTENT_TYPE       $content_type;
fastcgi_param  CONTENT_LENGTH     $content_length;

fastcgi_param  SCRIPT_FILENAME    $request_filename;
fastcgi_param  SCRIPT_NAME        $fastcgi_script_name;
fastcgi_param  REQUEST_URI        $request_uri;
fastcgi_param  DOCUMENT_URI       $document_uri;
fastcgi_param  DOCUMENT_ROOT      $document_root;
fastcgi_param  SERVER_PROTOCOL    $server_protocol;
fastcgi_param  HTTPS              $https if_not_empty;

fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;
fastcgi_param  SERVER_SOFTWARE    nginx/$nginx_version;

fastcgi_param  REMOTE_ADDR        $remote_addr;
fastcgi_param  REMOTE_PORT        $remote_port;
fastcgi_param  SERVER_ADDR        $server_addr;
fastcgi_param  SERVER_PORT        $server_port;
fastcgi_param  SERVER_NAME        $server_name;

# Set php-fpm geoip variables
fastcgi_param GEOIP_COUNTRY_CODE $geoip_country_code;
fastcgi_param GEOIP_COUNTRY_CODE3 $geoip_country_code3;
fastcgi_param GEOIP_COUNTRY_NAME $geoip_country_name;
fastcgi_param GEOIP_CITY_COUNTRY_CODE $geoip_city_country_code;
fastcgi_param GEOIP_CITY_COUNTRY_CODE3 $geoip_city_country_code3;
fastcgi_param GEOIP_CITY_COUNTRY_NAME $geoip_city_country_name;
fastcgi_param GEOIP_REGION $geoip_region;
fastcgi_param GEOIP_CITY $geoip_city;
fastcgi_param GEOIP_POSTAL_CODE $geoip_postal_code;
fastcgi_param GEOIP_CITY_CONTINENT_CODE $geoip_city_continent_code;
fastcgi_param GEOIP_LATITUDE $geoip_latitude;
fastcgi_param GEOIP_LONGITUDE $geoip_longitude;

答案1

您的 nginx 服务器无法确定要传递给 PHP 的请求的真实 IP。解决方法是使用 Nginx 的真实 IP 模块。

看一下这个https://support.cloudflare.com/hc/en-us/articles/200170706-如何恢复原始访客 IP-使用 Nginx-

只需将链接中的代码片段添加到您的配置文件并重新启动 nginx。

答案2

@the_nuts 的答案的扩展。我编写了一个小脚本,该脚本会geoip_proxy根据 cloudflare 页面上的列表自动生成说明列表:

#!/bin/sh
# /etc/nginx/geoip_update.sh
# Update GeoIP proxy list to the current list of cloudflare IP addresses

outfile=$(dirname "$0")/geoip_cloudflare.conf

echo "# Auto-generated by $0" > "$outfile"
(
    curl https://www.cloudflare.com/ips-v4
    curl https://www.cloudflare.com/ips-v6
) | while read ip; do
    echo "geoip_proxy $ip;"
done > "$outfile"
echo List updated.

用法:启动此脚本一次,它将生成/etc/nginx/geoip_cloudflare.conf文件。然后将以下内容添加到您的http块中:

include /etc/nginx/geoip_cloudflare.conf;

可选地,将脚本添加到 cron 以定期更新 IP 列表。但不确定它们更改的频率是多少。

注意:脚本没有经过很好的优化,在更新期间,config/include 文件将在短时间内为空。如果 nginx 在那时重新启动,则 geoip_proxy 指令将不起作用。

答案3

正确的方法是将 CloudFlare IP 范围设置为受信任的代理,使用geoip_proxy指令。无需其他模块。

截至今日,结果如下:

geoip_proxy 103.21.244.0/22;
geoip_proxy 103.22.200.0/22;
geoip_proxy 103.31.4.0/22;
geoip_proxy 104.16.0.0/12;
geoip_proxy 108.162.192.0/18;
geoip_proxy 131.0.72.0/22;
geoip_proxy 141.101.64.0/18;
geoip_proxy 162.158.0.0/15;
geoip_proxy 172.64.0.0/13;
geoip_proxy 173.245.48.0/20;
geoip_proxy 188.114.96.0/20;
geoip_proxy 190.93.240.0/20;
geoip_proxy 197.234.240.0/22;
geoip_proxy 198.41.128.0/17;
geoip_proxy 2400:cb00::/32;
geoip_proxy 2405:b500::/32;
geoip_proxy 2606:4700::/32;
geoip_proxy 2803:f800::/32;
geoip_proxy 2c0f:f248::/32;
geoip_proxy 2a06:98c0::/29;

您可以在此处找到更新的 CloudFlare IP 列表:https://www.cloudflare.com/ips/

相关内容