在现代网络架构中，内容分发网络（CDN）扮演着至关重要的角色，它通过将内容缓存到离用户更近的节点上，不仅提高了网站的响应速度和可靠性，还减轻了源站的压力，使用CDN也会带来一些挑战，尤其是在需要识别和过滤真实用户IP的场景中，本文将探讨如何在Nginx中使用CDN时，有效地获取和过滤用户的真实IP地址。

一、CDN的工作原理

我们需要了解CDN的基本工作原理，CDN通过全球分布的多个节点服务器，将网站的内容缓存到距离用户最近的节点上，当用户请求访问网站时，CDN会从最近的节点提供内容，从而提高访问速度并减轻源站的负载，这种架构也带来了一个问题：源站只能看到CDN节点的IP地址，无法直接获取用户的真实IP地址。

二、获取真实IP的方法

为了获取用户的真实IP地址，我们可以利用HTTP头中的X-Forwarded-For字段，这个字段由代理服务器或CDN节点设置，包含了用户的原始IP地址，在Nginx配置中，我们可以通过以下方式获取并使用这个字段：

map $http_x_forwarded_for $real_ip {
    "~(.*),"  $1;
    default    $remote_addr;
}

配置定义了一个名为$real_ip的变量，它从$http_x_forwarded_for字段中提取第一个IP地址作为用户的真实IP，如果字段不存在，则使用$remote_addr作为备用。

三、配置Nginx过滤规则

获取到真实IP后，我们可以在Nginx中设置访问控制规则，以过滤不需要的流量，如果我们想禁止某个特定的IP段访问我们的网站，可以这样做：

if ($real_ip ~* "^121\.42\.0\.") {
    return 403;
}

这段配置使用了正则表达式来匹配$real_ip变量，如果用户的真实IP属于121.42.0.段，则返回403禁止访问的错误码。

四、高级用法与脚本辅助

对于频繁变化的IP过滤需求，手动修改Nginx配置并不现实，这时，我们可以编写脚本来动态管理这些规则，一个简单的Bash脚本可以用来添加或删除IP地址：

#!/bin/bash
NGINX_CONF="/etc/nginx/nginx.conf"
IP=$1
ACTION=$2
if [ "$ACTION" == "add" ]; then
    sed -i '/if ('$NGINX_CONF')/a \\treturn 403;' $NGINX_CONF
elif [ "$ACTION" == "remove" ]; then
    sed -i '/if ('$NGINX_CONF')/d' $NGINX_CONF
fi
nginx -s reload

这个脚本接受两个参数：要添加或删除的IP地址和操作类型（add或remove），根据操作类型，它会在Nginx配置文件中添加或删除相应的规则，然后重新加载Nginx以使更改生效。

五、总结

通过上述方法，我们可以在使用CDN的同时有效地获取和过滤用户的真实IP地址，这不仅有助于提高网站的安全性，防止恶意扫描和攻击，还能确保日志分析的准确性，随着网络环境的不断变化，掌握这些技巧对于每个网络管理员来说都是非常宝贵的，希望本文能为你在Nginx与CDN的使用中提供帮助和指导。