zclaiqcc

When would related PR be merged?

感觉这像是四层代理的需求，WAF 感觉更偏七层，看看其他师傅有没有类似的需求

> 支持加~而且可以顺带做个黑名单IP拦截 @warmsheep 黑名单 IP 拦截不是已经支持了么？

可以去掉 WAF 直接访问这个 URL 试试，预期也是 404

PR 先 Open 吧，暂时不考虑持续维护 K8s 的模式，有需要的师傅可以自行参考 DIY。主要是精力不够，感谢师傅的支持！

第一层 CDN 把 socket ip 放在 X-Real-IP 里面，然后雷池解析这个 Header 就行了？ https://waf-ce.chaitin.cn/docs/faq/other#%E6%BA%90-ip-%E6%98%BE%E7%A4%BA%E4%B8%8D%E6%AD%A3%E7%A1%AE

> > 第一层 CDN 把 socket ip 放在 X-Real-IP 里面，然后雷池解析这个 Header 就行了？ https://waf-ce.chaitin.cn/docs/faq/other#%E6%BA%90-ip-%E6%98%BE%E7%A4%BA%E4%B8%8D%E6%AD%A3%E7%A1%AE > > 我设置不了，CDN服务商并不提供这个选项。有的CDN可以指定字段包含客户端IP，有的并不行，雷池这边修改匹配规则一劳永逸，而且X-Forwarded-For解析本该就是这样，第一个作为客户端IP。 第一层的 CDN 也没法透传 socket IP 么？那讲道理感觉这个 CDN 不太行吧哈哈哈。 XFF 解析能力确实可以进一步优化一下，之前没做很丰富是考虑到大多数用户都不一定能用得明白，没有想到一种简单方案的产品设计。

目前确实不支持多个 XFF 头解析。页面上“源 IP 获取方式”从 HTTP Header 中解析设计就是取一整个字段，尝试整体解析为 IP，解析失败则使用 socket ip。 之前没有支持更丰富的 XFF 主要是配置和使用起来太麻烦了，很容易配置不明白，甚至配置错。所以基本上都是建议从最前面的网关设备透传 X-Real-IP 作为唯一的客户端 IP 字段，确实没有遇到过某个 CDN 不支持配置该字段的情况。 XFF 配置复杂在哪呢，举例来说，师傅提到： > 而且X-Forwarded-For解析本该就是这样，第一个作为客户端IP。 首先有一个 XFF 的顺序，先不纠结正数第一个还是倒数第一个的问题。因为从左往右和从右往左看起来是两个顺序，然而大家似乎没有统一口径。（小问题） 其次是从左往右取第一个并不安全，因为这些都是可以伪造的，客户端随便发一个 XFF 127.0.0.1...

> 遇到同样的问题，多个xff头就没办法获取真实ip，建议优化一下 同样的建议，通过让前面的网关设备把客户端的真实 IP 放到 X-Real-IP（或者别的名字）里面？

> 还有一种情况就是 阿里 的 DCDN->WAF->web 当雷池上添加的域名a.com 阿里云DCDN 而 b.com其他CDN的时候WAF 获取的源IP也是五花八门 但阿里DCDN是Ali-Cdn-Real-Ip参数是客户源IP 同样的建议，通过让前面的网关设备把客户端的真实 IP 放到 X-Real-IP（或者别的名字）里面？