#分享# 记一次F5添加xff字段后nginx代理无法访问问题处理

问题现象：

由于客户现场某应用发布需要多个域访问，故使用F5在前端做了一个地址负载，无法获取真实源IP，添加x-forward-for字段，站点无法访问。

F5映射地址端口：https://1.1.1.1:9000

服务器地址端口：https://192.168.1.1:9000

问题原因：

1、测试发现访问目标站点https://1.1.1.1:9000，源地址一直是某一个固定IP

2、前期排查误以为是应用更新引起，确认该部分程序未修改，访问目标站点https://192.168.1.1:9000，源IP为真实客户IP。

2、判断为网络问题，网络同事确认需要在F5添加地址透传，添加x-forward-for字段显示真实源IP

3、添加xff字段后，页面无法访问，多次测试结果访问未到达nginx

4、后网上查询资料，反应过来https会对应用数据进行加密，F5加入xff字段相当于把加密的https应用数据变成乱码，nginx无法解析该访问

解决方案：

1、F5添加xff字段，目标站点使用http访问(http://1.1.1.1:9000)正常，x-real-ip仍为负载ip，但是x-forward-for字段ip为真实源ip，抓取xff字段作为源ip使用

2、F5添加xff字段，添加站点ssl证书，由F5对解密后的应用数据添加xff字段，再把数据进行加密转发，目标站点使用https访问(https://1.1.1.1:9000)正常。x-real-ip仍为负载ip，但是x-forward-for字段ip为真实源ip，抓取xff字段作为源ip使用

学习了，这个也是工作中的经验，以后可以避坑，https必须用证书解密