nginx 反代某网站被检测到了真实 ip!

2014-11-01 20:16:52 +08:00
 jacy
有几个网站的资源只能在某台电脑上访问(绑定了ip),为了让其他机子也能访问,于是搭建了Http代理(用的ccproxy),但是感觉不方便,想用的时候还得切换。于是搭建nginx代理,转发所有80和443的流量,通过dns方法把需要访问的域名解析到该电脑上。
但是发现有一个网站工作不正常,登录的时候显示ip未授权,显示的是我原始的ip而不是代理的ip。该网站强制使用了https,我在nginx里监听的443,自制了证书。配置文件里除了host值没有发送其他header信息。这是什么原因,有技术手段可以检测到原始ip?但是这个网站用ccproxy做代理是工作正常的。
6445 次点击
所在节点    NGINX
26 条回复
Tianpu
2014-11-01 20:29:23 +08:00
把所有header打印出来看看

或者是不是cookie之类的原因
est
2014-11-01 20:41:07 +08:00
a.com 被你全站代理,
a.com 插入 b.com/1.js ,这个js向a.com报告你的IP。
完毕。
xoxo
2014-11-01 20:54:15 +08:00
www.a.com
src="xoxo.js"
(new Image).src="b.a.com/a.gif?....";
jacy
2014-11-01 21:10:49 +08:00
@xoxo 不是的,这个可能性已经排查了,抓过包了,而且用ccproxy的时候我用的autoproxy自动规则,是同一个域名。
mengskysama
2014-11-01 21:12:00 +08:00
nginx我记得默认标记x-forwar-for,相当于HTTP透明代理,www.ip.cn查查
jacy
2014-11-01 21:12:21 +08:00
@Tianpu header打印了,没看出什么问题。cookie也不像是,切换成http代理时正常,其他条件都没变。
jacy
2014-11-01 21:13:29 +08:00
@mengskysama x-forward-for可以在header里设置,我没设置这一项。在各ip网站显示的是代理服务器的ip。
wzxjohn
2014-11-01 21:28:06 +08:00
@jacy 很多方式。。。比如插一个flash获取IP再提交。
wzxjohn
2014-11-01 21:29:15 +08:00
@jacy https://www.browserleaks.com/whois 可以先看看这个网站能不能获取到你的真实IP
wzxjohn
2014-11-01 21:31:00 +08:00
wzxjohn
2014-11-01 21:33:40 +08:00
jacy
2014-11-01 21:49:48 +08:00
@wzxjohn 这个网站厉害了,什么原理,挂vpn都显示原始ip。
我那个页面已经抓过包了,而且关键是用autoproxy+http代理的域名规则和ngixn反代是一样的,前者工作而后者不行。
sNullp
2014-11-01 21:56:33 +08:00
@jacy 会不会网页里有写死的对ip的请求,这时候反代就无效了。
tolbkni
2014-11-01 22:44:02 +08:00
@jacy 没装 flash,明显显示不了原始 IP
bumz
2014-11-01 22:59:09 +08:00
@jacy 挂 VPN 都顯示原始 IP?我試了就不行啊
Tianpu
2014-11-02 00:23:03 +08:00
@jacy 或者提供下具体的URL

http://en.wikipedia.org/wiki/Device_fingerprint

检查下是不是这个东西,cookie有很多替代了,也可以识别出来
Tianpu
2014-11-02 00:24:36 +08:00
@jacy #12 这个排除掉全局代理相关可能性没?
JackWindows
2014-11-02 09:05:49 +08:00
目测楼主就是开了xforwardfor而已
invite
2014-11-02 11:23:40 +08:00
@jacy 哥们, 你访问啥地址? VPN还能显示源IP? 我挂VPN访问了一下, 只显示VPN的IP啊.
jacy
2014-11-02 12:54:17 +08:00
@JackWindows

@invite 用的不是一般的vpn,不知道哪个公司的方案,不过看起来很普通vpn差不多,会创建一个新的本地连接,路由表都走这个新连接。




@Tianpu autoproxy我没有用全局的。Device fingerprint没看明白。autoproxy和nginx这两个方案都是同一个电脑和浏览器,nginx方案唯此网站不行,其他几个也需要绑定ip的都可以。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/143242

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX