宝塔CDN获取真实IP方法：Nginx配置添加X-Forwarded-For

本文深入解析了在宝塔面板下使用CDN时准确获取用户真实IP的核心原理与实操步骤：必须确保CDN侧开启X-Forwarded-For透传，再通过Nginx的set_real_ip_from和real_ip_header指令对可信回源IP段进行严格校验与真实IP替换，最终让PHP的$_SERVER['REMOTE_ADDR']直接返回客户端真实IP——这不仅是日志记录、地理定位的基础，更是限流、封禁等安全策略生效的前提；文章还手把手指导如何验证CDN配置、精准填写官方回源IP段、规避伪造风险、检查fastcgi参数及常见翻车陷阱，帮你彻底终结“所有IP逻辑都指向CDN节点”的运维噩梦。

宝塔面板配置CDN后，$remote_addr 变成 CDN 节点 IP，PHP 里 $_SERVER['REMOTE_ADDR'] 拿不到真实用户 IP——必须让 Nginx 把 X-Forwarded-For 头可信地透传并覆盖原始地址，否则所有基于 IP 的逻辑（限流、封禁、日志、地理定位）都会失效。

确认 CDN 是否已透传 X-Forwarded-For

不是所有 CDN 都默认加这个头，有些只加 X-Real-IP，有些会伪造或拼接多个 IP。先在网站加个临时调试页验证：

var_dump($_SERVER['HTTP_X_FORWARDED_FOR'] ?? 'MISSING');<br>var_dump($_SERVER['HTTP_X_REAL_IP'] ?? 'MISSING');<br>var_dump($_SERVER['REMOTE_ADDR']);

如果输出全是 CDN 节点 IP（比如阿里云 CDN 是 100.100.x.x），且 HTTP_X_FORWARDED_FOR 为空或不可信，说明 CDN 侧没配好，需去 CDN 控制台开启「传递客户端真实 IP」或「回源携带 X-Forwarded-For」——腾讯云叫「开启 IP 回传」，Cloudflare 叫「Always Use HTTPS + Forwarding Rules 中启用 IPv4/IPv6 真实 IP」。

在宝塔 Nginx 配置中设置 real_ip 指令

仅靠读取 HTTP_X_FORWARDED_FOR 不安全：攻击者可伪造该头。Nginx 必须结合 set_real_ip_from 明确信任哪些 CDN 回源 IP 段，再用 real_ip_header 指定从哪个头取真实 IP。宝塔不提供图形化入口，需手动改站点配置：

• 进入「网站」→「设置」→「配置文件」，在 server 块最上方（location / { 之前）插入：

set_real_ip_from 1.2.3.4/32;<br>set_real_ip_from 5.6.7.0/24;<br>real_ip_header X-Forwarded-For;<br>real_ip_recursive on;

其中 1.2.3.4/32 和 5.6.7.0/24 替换为你所用 CDN 官方公布的**回源 IP 段**（如 Cloudflare 是 https://www.cloudflare.com/ips/，阿里云 CDN 在控制台「域名管理 → 回源 IP 段」可查）。real_ip_recursive on 表示当 X-Forwarded-For 有多个 IP（如 X-Forwarded-For: 1.1.1.1, 2.2.2.2, 3.3.3.3）时，从右往左找第一个非 CDN IP；关掉则取最左边。

确保 PHP 能正确读取修改后的 REMOTE_ADDR

Nginx 设置 real_ip 后，$remote_addr 变量和 fastcgi_param REMOTE_ADDR $remote_addr 就会自动变成真实 IP，PHP 的 $_SERVER['REMOTE_ADDR'] 即可直接使用。但要注意：

• 宝塔默认的 PHP 配置里可能漏写了 fastcgi_param REMOTE_ADDR $remote_addr，检查「网站」→「设置」→「PHP 版本」→「配置修改」里的 fastcgi_params 或站点配置中的 fastcgi_param 区块，确保存在这一行；
• 不要在 PHP 里手动用 $_SERVER['HTTP_X_FORWARDED_FOR'] 解析，因为 Nginx 已完成可信替换，直接读 $_SERVER['REMOTE_ADDR'] 更安全、统一；
• 若用了 ThinkPHP、Laravel 等框架，它们自带的「获取客户端 IP」方法（如 request()->ip()）底层通常已适配 real_ip 设置，无需额外改代码。

验证与常见坑

改完 Nginx 配置后必须重载：nginx -t && systemctl reload nginx（宝塔界面点「重载配置」也行）。验证方式：

• 用手机开蜂窝网络访问网站，对比服务端打印的 $_SERVER['REMOTE_ADDR'] 和你手机当前公网 IP（搜「我的 IP」）是否一致；
• 错误做法：只加 proxy_set_header X-Forwarded-For $remote_addr ——这只能让后端看到，但 Nginx 自身仍用 CDN IP 做限流、日志等，limit_req、access_log 全错；
• 典型翻车点：把 CDN 回源段写成自己服务器外网 IP、或用了已废弃的 IP 段（如某些 CDN 运维后更新了 IP 段但没同步通知）；
• Cloudflare 用户注意：免费版默认不开「True Client IP」功能，需在「SSL/TLS → Origin Server → True Client IP Header」里选「On」，否则即使 Nginx 配对了也收不到头。

真实 IP 获取是链式信任：CDN 必须传、Nginx 必须信、PHP 必须读——三者缺一不可，而最容易被跳过的环节，就是漏查 CDN 官方最新回源 IP 段列表。

终于介绍完啦！小伙伴们，这篇关于《宝塔CDN获取真实IP方法：Nginx配置添加X-Forwarded-For》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！