FRP项目中获取真实IP地址的技术方案探讨

在FRP项目实际部署中，当服务端(frps)位于Nginx反向代理之后时，日志中记录的访问IP地址往往显示为127.0.0.1，这给基于日志分析的安全防护带来了挑战。本文将深入探讨几种可行的技术方案来解决这一问题。

网络转发场景下的解决方案

对于HTTP/HTTPS转发服务，FRP服务端实际上可以获取到完整的HTTP请求头信息。标准的网络转发通常会通过X-Forwarded-For或X-Real-IP等头部字段传递真实的客户端IP地址。在FRP的代码实现中，可以通过解析请求头来获取这些信息。

TCP连接场景下的处理

对于直接的TCP连接，FRP的调试日志已经包含了远程连接地址信息。在代码层面，可以通过userConn.RemoteAddr()方法获取到连接方的真实IP地址。

分布式防护方案

一个实用的解决方案是在客户端(frpc)端获取真实IP地址，然后通过自定义的安全防护动作将防护指令传递到服务端执行。这种方案需要：

1. 在客户端正确配置获取真实IP的机制
2. 创建自定义的安全防护动作定义文件
3. 配置相应的规则指向这个自定义动作

实施建议

对于生产环境部署，建议考虑以下最佳实践：

1. 确保Nginx配置正确传递X-Forwarded-For头部
2. 在FRP服务端启用详细日志记录
3. 考虑使用Proxy Protocol等高级方案处理TCP连接的真实IP问题
4. 评估网络延迟对分布式防护方案的影响

通过合理配置，即使在反向代理后的FRP服务也能有效获取客户端真实IP，为安全防护提供可靠的数据基础。