【已完成】Nginx防火墙的访问者ip问题

为了能快速了解并处理您的问题，请提供以下基础信息：

面板、插件版本：

bt面板8.0.3 Nginx防火墙 9.2.1

系统版本：

Debian12

问题描述：

情况是这样的，我服务器开了一台虚拟机安装宝塔并安装了nginx防火墙，网站设置开启了cdn那个选项然后我又开了一个虚拟机安装了一个waf软件，访问情况是这样的：用户 -＞cdn节点 -＞waf虚拟机 -＞源站
然后我模拟了一下攻击，源站的宝塔waf防火墙获取到的访问ip是cdn节点的ip，这种情况就导致了防火墙一直封禁cdn节点
我看过http请求内容，x-forwarded-for有两个ip，第一个是用户真实ip，第二个是cdn节点ip，然后waf是用的第二个ip做访问ip，应该用第一个或者使用x-real-ip的ip才是正确的！

相关截图（日志、错误）：

您好，这边具体将您的问题反馈咨询了下，您这种情况正常来说是直接开启CDN选项就好了。但是您反馈的是开启了之后也无法获取到X-real-IP的IP，CDN选项内使用获取heard头的，您那边可以尝试将双层的WAF去掉一层看看是否能正常获取到呢？

或者是在Nginx防火墙插件设置内---站点设置----开启兼容百度CDN选项试试

谢花郎 发表于 2023-10-12 09:43
您好，这边具体将您的问题反馈咨询了下，您这种情况正常来说是直接开启CDN选项就好了。但是您反馈的是开启 ...

去掉另外的waf机器，直接使用cdn确实是能正常获取到，但是这个不是最优解吧，有没有什么办法让waf插件将x-real-ip标头的ip做为访问者ip，或者x-forwarded-for的第一个ip作为访问者ip

宝塔用户_ruyydv 发表于 2023-10-12 11:26
去掉另外的waf机器，直接使用cdn确实是能正常获取到，但是这个不是最优解吧，有没有什么办法让waf插件将x ...

试试直接用兼容百度CDN的那个选项打开看下，CDN选项内是已经把x-real-ip标头设置了的。

谢花郎 发表于 2023-10-12 14:16
试试直接用兼容百度CDN的那个选项打开看下，CDN选项内是已经把x-real-ip标头设置了的。 ...

开启兼容百度CDN那个选项确实可以了

宝塔用户_ruyydv 发表于 2023-10-12 18:12
开启兼容百度CDN那个选项确实可以了

好的，那就将这个打开即可。