在 CloudCone 这类 VPS 上,单纯配置 Nginx 反向代理并不能完全隐藏真实 IP,必须配合防火墙策略和后端服务绑定内网地址,才能防止客户端直接绕过代理访问源站。
先说结论:反向代理是隐藏源站 IP 的基础架构,但需结合网络层控制才能生效,适合有独立后端服务的 Web 场景。
- 先判断:确认后端服务是否支持绑定指定 IP,且 VPS 防火墙可配置。
- 优先做:将后端服务监听地址改为 127.0.0.1,并在防火墙禁用后端端口公网访问。
- 再验证:通过直接访问后端端口和检查响应头,确认无法获取源站信息。
命令速用版
以下是基于 Ubuntu/Debian 系统的快速配置思路,核心是安装 Nginx 并配置防火墙:
apt update && apt install nginx -u ufw allow 80/tcp ufw allow 443/tcp ufw deny 8080/tcp systemctl restart nginx
注意:8080 仅为示例后端端口,请根据实际服务端口调整。
为什么会这样
Nginx 反向代理的本质是让客户端只与代理服务器通信,由代理服务器向内网后端转发请求。如果后端服务仍然监听公网 IP 且防火墙未拦截,攻击者仍可直接扫描端口获取真实 IP。因此,隐藏 IP 的关键不在于 Nginx 配置本身,而在于网络层的隔离,确保外部流量只能到达 Nginx,无法直连后端。
分步处理
1. 后端服务绑定内网地址
修改后端应用(如 Tomcat、Node.js、Python)的配置,将监听地址从 0.0.0.0 改为 127.0.0.1。这样后端只接受本机请求,外部无法直接连接。
2. 配置 Nginx 反向代理
在 Nginx 配置文件中设置 proxy_pass,并透传客户端真实信息:
location / {
proxy_pass http://127.0.0.1:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}3. 清除敏感响应头
防止后端通过响应头泄露技术栈信息:
proxy_hide_header X-Powered-By; proxy_hide_header Server; server_tokens off;
4. 防火墙隔离
使用 ufw 或云服务商安全组,禁止外部访问后端端口。仅放行 Nginx 监听的 80 和 443 端口。
怎么验证是否生效
完成配置后,执行以下检查:
1. 直接访问后端端口
在本地终端尝试 curl http://你的 VPS 真实 IP:后端端口,应返回连接拒绝或超时,说明防火墙生效。
2. 检查响应头
使用 curl -I http://你的域名,确认返回头中不包含后端服务特征(如 X-Powered-By),且 Server 字段不暴露版本。
3. 日志核对
查看后端应用日志,来源 IP 应显示为 127.0.0.1,而 Nginx 日志中 remote_addr 应为用户真实 IP。
常见坑
1. DNS 历史记录
如果在配置代理前域名曾直接解析到 VPS IP,DNS 历史记录网站可能仍保留旧记录。需等待记录过期或更换 IP。
2. SSL 证书泄露
攻击者可通过扫描 443 端口获取 SSL 证书信息,将 IP 与域名关联。建议源站使用与网站无关的证书或自签名证书。
3. 邮件服务泄露
若在源站直接发送邮件,邮件头可能携带源站 IP。建议使用第三方邮件发送服务,避免从 VPS 直接发信。
4. 子域名未覆盖
如果只给主站配置代理而子域名直接解析到 IP,攻击者可通过子域名反推真实 IP。需检查所有子域名解析记录。
参考来源
- Nginx 利用代理模块隐藏真实服务器 IP 地址
- 网站真实 ip 隐藏,如何把网站真实 ip 隐藏
- CDN 及其他手段隐藏源站 IP 的综合方法
- 马哥教育干货分享 | 做一个永不暴露真实 IP 的网站