2

我有一个 Rails 应用程序,我正在尝试重载 request.remote_ip 和 request.ip 以便使用 cloudflare 标头(HTTP_CF_CONNECTING_IP)(如果存在)...我已经尝试过这些,但它们都不起作用:

module Rack
  class Request
    class << self
      def ip
        @ip ||= (@env['HTTP_CF_CONNECTING_IP'] || super)
      end
    end
  end
end

module ActionDispatch
  class Request < Rack::Request
    class << self
      def remote_ip
        @remote_ip ||= (@env['HTTP_CF_CONNECTING_IP'] || super)
      end
    end
  end
end

我不能使用额外的方法,比如

def connecting_ip
  @env['HTTP_CF_CONNECTING_IP'] || request.remote_ip
end

在 application_controller 中,因为我还有一些使用 request.ip 的其他宝石(如设计)

谢谢!

4

3 回答 3

8

我相信request是一个例子。但是您正在定义类方法。删除class << self废话,您将重新定义实例方法。

只是一个音符,这听起来有点疯狂。里面小心点。框架并不总是喜欢重新安排他们的胆量。

使用实例方法时的错误消息意味着正在发生其他事情。 super调用超类实现。但是,当您重新打开一个类并覆盖某些东西时,您实际上是在覆盖原始实现。由于该方法在超类中不存在,super因此不起作用。

相反,您可以在声明将替换它的新方法之前alias保存原始实现。

module ActionDispatch
  class Request < Rack::Request
    alias :remote_ip_orig :remote_ip
    def remote_ip
      @remote_ip ||= (@env['HTTP_CF_CONNECTING_IP'] || remote_ip_orig)
    end
  end
end
于 2012-11-14T01:20:38.303 回答
3

如果你想使用 CloudFlare 并像我在没有 Ngingx 或 Apache 模块的情况下那样检测真正的 IP,这种猴子补丁方法是一个非常糟糕的主意,这将在未来导致意想不到的结果。最好使用中间件,因为它应该被使用。这是我提出并实施的一个。 

module Rack
  class CloudFlareFixup
    def initialize(app)
      @app = app
    end

    def call(env)
      if env['HTTP_CF_CONNECTING_IP']
        env['HTTP_X_FORWARDED_FOR'] = env['HTTP_CF_CONNECTING_IP']
        env['REMOTE_ADDR'] = env['HTTP_CF_CONNECTING_IP']
      end
      @app.call(env)
    end
  end
end

只需将其添加到您的 application.rb

config.middleware.insert_before(0, Rack::CloudFlareFixup)

你可以在https://gist.github.com/mattheworiordan/9024372看到完整的 Gist

于 2014-02-15T19:53:31.877 回答
0

我尝试了很多解决这个问题的方法。这是我发现的:

  • cloudflare-railsgem => 这会将 ip 和 remote_ip 设置为原始 ip。我希望 ip 代表它来自的 cloudflare ip,而 remote_ip 代表用户的原始 ip,所以这对我不起作用。它通过每 12 小时查找一次 Cloudflare IP 范围列表并将其添加到trusted_proxies 来运行。然后它修补: - ActionDispatch::Request.ipActionDispatch::Request.remote_ipRack::Attack::Request.trusted_proxy?使用 cloudflare 受信任的代理,以便 ip 和 remote_ip 忽略它们并使用发起请求的用户的原始 ip。
  • actionpack-cloudflaregem => 这要简单得多。它所做的一切都是直接设置ActionDispatch.remote_ip = @env['HTTP_CF_CONNECTING_IP']的,这符合 Cloudflare 最佳推荐的最佳实践,但将 gem 用于 1 行代码似乎并不值得。
  • 手卷
# config/initializers/cloudflare.rb

# These values should rarely or never change and Cloudflare should alert us before that happens.
# The list of Cloudflare proxy server ip ranges comes from https://www.cloudflare.com/ips/
CLOUDFLARE_IP_RANGES = [IPAddr.new("103.21.244.0/22"),IPAddr.new("103.22.200.0/22"),IPAddr.new("103.31.4.0/22"),IPAddr.new("104.16.0.0/12"),IPAddr.new("108.162.192.0/18"),IPAddr.new("131.0.72.0/22"),IPAddr.new("141.101.64.0/18"),IPAddr.new("162.158.0.0/15"),IPAddr.new("172.64.0.0/13"),IPAddr.new("173.245.48.0/20"),IPAddr.new("188.114.96.0/20"),IPAddr.new("190.93.240.0/20"),IPAddr.new("197.234.240.0/22"),IPAddr.new("2405:8100::/32"),IPAddr.new("2405:b500::/32"),IPAddr.new("2606:4700::/32"),IPAddr.new("2803:f800::/32"),IPAddr.new("2a06:98c0::/29"),IPAddr.new("2c0f:f248::/32")
]

# By adding the cloudflare IP ranges as trusted_proxies, rails ignores those IPs when setting remote_ip and correctly sets it to the originating IP
Rails.application.config.action_dispatch.trusted_proxies = CLOUDFLARE_IP_RANGES + ActionDispatch::RemoteIp::TRUSTED_PROXIES

最后,我想阻止非代理请求

# config/initializers/rack_attack.rb
class Rack::Attack
  class Request < ::Rack::Request
    # Create a remote_ip method for rack request by setting it equal to the cloudflare connecting ip header
    # To restore original visitor IP addresses at your origin web server, Cloudflare recommends your logs or applications
    # look at CF-Connecting-IP instead of X-Forwarded-For since CF-Connecting-IP has a consistent format containing only one IP.
    # https://support.cloudflare.com/hc/en-us/articles/200170986-How-does-CloudFlare-handle-HTTP-Request-headers-
    def remote_ip
      @remote_ip ||= (env['HTTP_CF_CONNECTING_IP'] || ip).to_s
    end

    # This checks the request IP against Cloudflare IP ranges and the action dispatch default trusted proxies.
    # These include various local IPs like 127.0.0.1 so that local requests won't be blocked.
    def proxied?
      Rails.application.config.action_dispatch.trusted_proxies.any? { |range| range === ip }
    end
  end

  # Block all requests coming from non-Cloudflare IPs
  blocklist("block non-proxied requests in production") do |req|
    if req.proxied?
      false
    else
      req.log :warn
      true
    end
  end
end
于 2020-02-20T19:12:45.763 回答