部署了 CDN 或四层负载均衡之后,很多团队会遇到同一个问题:网关侧拿到的客户端 IP,实际上是代理服务器的地址。基于来源 IP 的限速规则、访问控制策略和审计日志,在这一层全部失效,因为 IP 传递链路本身就没有打通。
常见的修复思路有几种:Proxy Protocol、X-Forwarded-For、X-Real-IP、自定义头,每种方案适用的代理拓扑不同,安全边界也不同。选错了方案或信任链配置不严,要么信息丢失,要么留下 IP 伪造的安全隐患。
更完整的闭环还需要考虑回源方向:真实客户端 IP 是否也同步传递到了后端源站?入站和出站两个方向都对齐,才算真正解决问题。我们在 OpenResty Edge 上把这套配置逻辑整理成了一篇完整指南,涵盖方案选型、配置步骤和安全注意事项。
我们的博客文章链接:https://blog.openresty.com.cn/cn/edge-proxy-protocol/
#OpenRestyEdge #OpenResty #proxyprotocol