Kumanote LLC.

2020/10/05

[Nginx][Free版]cloudflareでユーザーのIPアドレス取得する

cloudflarenginx

概要

私は以下のような構成でシステムを構築することが多いです。

  • User(ブラウザ)
  • -> Cloudflare(Proxy)
  • -> [AWS/GCP]Loadbalancer
  • -> [AWS/GCP]Web Server(Nginx)
  • -> [AWS/GCP]Application Server

WAFなどはCloudflareでたいていのものは対応して、細かい制御はWeb Serverだったり、Application Serverで対応するような感じです。

あるあるなのですが、Proxyサーバー(LoadbalancerやWeb Serverも同様)を通すと、接続元のIPアドレスが隠蔽されてしまいます。

上記の例では、Web Serverの接続元はLoadbalancerなので、接続元IPを参照すると、LoadbalancerのIPアドレスになってしまいます。
通常は、HTTP Headerの X-Forwarded-For というフィールドに接続元IPがリレーされるような形で入っているので、
実際のUserのIPアドレスを参照したい場合は、リレーされたIPアドレスをうまくたどる必要が出てきます。

今回は、Application Serverが実際のUserのIPアドレスを取得できるように
Web Server(Nginx)の設定を編集したので、その内容を記載します。

参考

以下を参考にしました。

「オリジナル訪問者のIPを復元する」の日本語のサイトはNginxのコードの部分が見辛いので、英語版を見ると良かったです。

設定内容

以下のように set_real_ip_fromreal_ip_header の設定を追加する必要がありました。

server {
    listen 80 default_server;
    listen [::]:80 default_server;
    server_name _;
    root /var/www/html;
    charset utf-8;

    # ここから
    set_real_ip_from XXX.XXX.XXX.XXX/32; # LoadbalancerのIPアドレス
    set_real_ip_from 103.21.244.0/22;
    set_real_ip_from 103.22.200.0/22;
    set_real_ip_from 103.31.4.0/22;
    set_real_ip_from 104.16.0.0/12;
    set_real_ip_from 108.162.192.0/18;
    set_real_ip_from 131.0.72.0/22;
    set_real_ip_from 141.101.64.0/18;
    set_real_ip_from 162.158.0.0/15;
    set_real_ip_from 172.64.0.0/13;
    set_real_ip_from 173.245.48.0/20;
    set_real_ip_from 188.114.96.0/20;
    set_real_ip_from 190.93.240.0/20;
    set_real_ip_from 197.234.240.0/22;
    set_real_ip_from 198.41.128.0/17;
    set_real_ip_from 2400:cb00::/32;
    set_real_ip_from 2606:4700::/32;
    set_real_ip_from 2803:f800::/32;
    set_real_ip_from 2405:b500::/32;
    set_real_ip_from 2405:8100::/32;
    set_real_ip_from 2c0f:f248::/32;
    set_real_ip_from 2a06:98c0::/29;
    real_ip_header X-Forwarded-For;
    real_ip_recursive on;
    # ここまで
    # 以下略
}

注意点

もしnginxなどで、ip制限などを入れている場合は、ipv6の設定を忘れないようにした方が良いです。
cloudflareのproxyを通すと、ipv6で接続されることも増える(?)からです。

例えば、全てOKの場合は、 allow ::/0; を記載する必要があります。

    location / {
        allow 0.0.0.0/0;
        allow ::/0; # ipv6の設定を忘れずに
        deny all;
        # 以下略
    }

以上になります。

関連する記事

CloudflareとGCSを組合せて安く静的ファイル配信サーバー(HTTPS)を構築する

CloudflareとGoogle Gloud Storageを組合せて安くHTTPS対応の画像配信の仕組みを構築しました

[EKS]NLB+NginxでClientのIPアドレスを取得する

EKS上にdeployしたnginxをNetwork Load Balancerを使って外部公開した時に接続元のIPアドレスを取得する対応をしました

[Nginx][Free版]cloudflareでユーザーのIPアドレス取得する

CloudflareのProxyを通した場合でもユーザーのIPアドレスを取得できるようにNginxの設定を編集しました

certbot+cloudflareでの証明書取得

certbot certonly manual + cloudflareのAPIでの操作ログ