Synology NAS 反向代理 显示客户端真实IP：DSM 7.x/6.x配置指南（含Nginx/Apache）

在企业或个人使用Synology NAS的场景中，反向代理是实现NAS安全访问的常用方案——通过Nginx、Apache等代理服务器转发请求，可隐藏NAS真实IP、统一访问入口并提升抗攻击能力。但多数用户配置后会发现：DSM日志（如安全日志、访问日志）中仅显示反向代理服务器的IP，无法记录客户端真实IP，这不仅影响安全审计（如追踪异常登录来源），还会导致故障排查时无法定位具体访问设备。本文基于Synology官方技术文档，从“问题本质→前提准备→分场景配置→效果验证→常见问题”五大维度，全面拆解反向代理下显示客户端真实IP的实现逻辑，覆盖Nginx、Apache主流代理服务器，适配DSM 7.x/6.x全版本，确保用户能精准配置并解决IP隐藏问题。

一、问题本质：反向代理为何会隐藏客户端真实IP？

在配置前，需先理解反向代理的工作流程与IP隐藏的技术原理，避免因认知偏差导致配置失误。

1. 反向代理的核心工作流程

当客户端通过反向代理访问Synology NAS时，请求会经历3个关键环节：

1. 客户端发起请求：用户通过浏览器或客户端工具（如Synology Drive）向反向代理服务器发送访问请求，此时请求的源IP为客户端真实IP（如192.168.1.105）；

2. 代理服务器转发请求：反向代理服务器接收请求后，会将请求转发给后端的Synology NAS，但此时会将请求的“源IP”替换为代理服务器自身的IP（如192.168.1.200）；

3. NAS处理并响应：NAS接收代理服务器的请求，处理后将响应返回给代理服务器，再由代理服务器转发给客户端。

2. IP被隐藏的技术原因

反向代理默认不会主动传递客户端真实IP，导致NAS“误以为”请求来自代理服务器，核心原因有两点：

- TCP协议特性：TCP连接是“端到端”的，代理服务器与NAS建立新的TCP连接时，必须使用自身IP作为源IP，否则无法建立连接；

- 缺乏IP传递机制：若代理服务器未配置“IP传递头”（如X-Forwarded-For），NAS无法获知“原始请求的客户端IP”，只能记录当前连接的源IP（即代理IP）。

3. 不显示真实IP的3大影响

- 安全审计失效：无法追踪异常登录（如暴力破解）的真实来源，若代理服务器被攻击，难以定位攻击者；

- 访问控制失效：若NAS配置了“仅允许特定IP访问”，因真实IP被隐藏，合法客户端可能被拦截；

- 故障排查困难：当用户反馈“无法访问NAS”时，无法通过IP定位具体设备（如某部门电脑访问异常）。

二、前提准备：配置前需确认的3个关键条件

无论使用哪种反向代理服务器，配置前需完成以下准备，避免后续操作中断：

1. 确认反向代理服务器类型与版本

不同代理服务器的IP传递配置差异较大，需先明确类型（主流为Nginx、Apache），并确认版本兼容性：

| 代理服务器类型 | 最低版本要求 | 核心配置模块/指令 | 适用场景 |

|----------------|--------------|--------------------|----------|

| Nginx          | 1.13.10+     | ngx_http_proxy_module、X-Forwarded-For | 高性能、轻量场景（个人/中小企业） |

| Apache         | 2.4+         | mod_proxy、mod_headers、RequestHeader | 企业级稳定场景（需兼容多模块） |

2. 获取反向代理服务器的真实IP

NAS需“信任”代理服务器的IP，才能解析其传递的真实IP头，需提前记录：

- 若代理服务器与NAS在同一局域网：记录代理服务器的内网IP（如192.168.1.200）；

- 若代理服务器为公网设备（如云服务器）：记录代理服务器的公网IP（如203.0.113.5）；

- 若有多层代理（如CDN+Nginx）：需记录所有上层代理的IP（如CDN节点IP、Nginx代理IP），避免遗漏导致配置失效。

3. 确认DSM版本与权限

- DSM版本要求：DSM 6.2及以上（DSM 7.x优化了“反向代理信任”界面，操作更直观）；

- 权限要求：需使用DSM超级管理员账户（如admin）或具备“控制面板→安全”配置权限的自定义账户；

- 预装模块检查：DSM默认支持解析X-Forwarded-For头，无需额外安装套件，只需开启相关设置。

三、分场景配置：反向代理服务器+DSM端双端联动（核心步骤）

显示真实IP的核心是“代理服务器传递真实IP头+NAS信任代理IP并解析头信息”，需双端配合配置，以下分Nginx、Apache两种主流场景详细说明。

场景1：Nginx反向代理服务器配置（最常用）

Nginx需通过修改配置文件，添加“传递客户端真实IP的HTTP头”，步骤如下：

步骤1：找到Nginx配置文件

- Linux系统（如Ubuntu/CentOS）： 

配置文件默认路径为`/etc/nginx/nginx.conf`或`/etc/nginx/conf.d/nas-proxy.conf`（若为NAS单独配置了虚拟主机）；

- Windows系统（如WAMP集成环境）： 

路径通常为`C:nginxconfnginx.conf`或`C:wamp64binnginxnginxXXXconfnginx.conf`。

步骤2：修改Nginx配置，添加IP传递头

打开配置文件，找到对应NAS的反向代理配置块（通常包含`location /`或`proxy_pass`指令），添加以下3行配置，传递客户端真实IP：

```nginx

server {

listen 80;   或443（HTTPS）

server_name nas.yourdomain.com;   访问NAS的域名

location / {

核心：传递客户端真实IP的HTTP头

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;   记录客户端真实IP

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;   记录多层代理的IP链

proxy_set_header X-Forwarded-Proto $scheme;   传递协议（HTTP/HTTPS）

转发请求到NAS的IP和端口

proxy_pass http://192.168.1.100:5000;   NAS内网IP+DSM Web端口（默认5000，HTTPS为5001）

proxy_read_timeout 90;

}

}

```

- 配置说明： 

- `X-Real-IP`：记录直接访问代理服务器的客户端IP（单层代理场景足够）； 

- `X-Forwarded-For`：记录从客户端到代理服务器的所有IP链（多层代理场景必需，如CDN→Nginx→NAS）； 

- `X-Forwarded-Proto`：确保NAS识别请求的协议（避免HTTPS请求被识别为HTTP）。

步骤3：验证Nginx配置并重启服务

1. 检查配置文件语法是否正确： 

Linux系统执行命令：`nginx -t`，若显示“test is successful”，说明配置无误； 

Windows系统在CMD中进入Nginx目录，执行：`nginx -t`；

2. 重启Nginx服务生效配置： 

Linux：`systemctl restart nginx`（CentOS/RHEL）或`service nginx restart`（Ubuntu）； 

Windows：CMD中执行`nginx -s reload`（热重启），或任务管理器结束Nginx进程后重新启动。

场景2：Apache反向代理服务器配置

Apache需先启用必要模块，再通过虚拟主机配置传递真实IP，步骤如下：

步骤1：启用Apache核心模块

Apache需`mod_proxy`（反向代理模块）和`mod_headers`（HTTP头设置模块），需先确认模块已启用：

- Linux系统（Ubuntu/Debian）： 

执行命令启用模块： 

`a2enmod proxy proxy_http headers`，然后重启Apache：`systemctl restart apache2`；

- Linux系统（CentOS/RHEL）： 

编辑`/etc/httpd/conf/httpd.conf`，确保以下行无注释（删除开头的``）： 

`LoadModule proxy_module modules/mod_proxy.so` 

`LoadModule proxy_http_module modules/mod_proxy_http.so` 

`LoadModule headers_module modules/mod_headers.so`，然后重启：`systemctl restart httpd`；

- Windows系统（XAMPP）： 

打开`XAMPP/apache/conf/httpd.conf`，同上启用模块，然后在XAMPP控制面板重启Apache。

步骤2：配置虚拟主机，传递真实IP

打开Apache虚拟主机配置文件：

- Linux（Ubuntu）：`/etc/apache2/sites-available/nas-proxy.conf`； 

- Linux（CentOS）：`/etc/httpd/conf.d/nas-proxy.conf`； 

- Windows（XAMPP）：`XAMPP/apache/conf/extra/httpd-vhosts.conf`；

添加以下配置：

```apache

  或:443（HTTPS）

ServerName nas.yourdomain.com   访问NAS的域名

核心：启用反向代理并传递真实IP头

ProxyRequests Off   禁用正向代理，仅启用反向代理

ProxyPreserveHost On   保留客户端请求的Host头，避免NAS识别错误

RequestHeader set X-Real-IP "%{REMOTE_ADDR}s"   传递客户端真实IP

RequestHeader set X-Forwarded-For "%{REMOTE_ADDR}s"   传递IP链

RequestHeader set X-Forwarded-Proto "%{REQUEST_SCHEME}s"   传递协议

转发请求到NAS

ProxyPass / http://192.168.1.100:5000/   注意末尾的“/”不能省略，避免路径错误

ProxyPassReverse / http://192.168.1.100:5000/   处理反向代理的重定向响应

```

步骤3：启用虚拟主机并重启Apache

- Ubuntu/Debian： 

执行`a2ensite nas-proxy.conf`启用虚拟主机，再`systemctl restart apache2`；

- CentOS/RHEL/Windows： 

直接重启Apache服务，配置即可生效。

场景3：DSM端配置（信任代理IP+启用真实IP解析）

无论使用哪种代理服务器，NAS端需“信任”代理IP，才能解析其传递的X-Forwarded-For等头，步骤如下（以DSM 7.x为例，6.x类似）：

步骤1：进入DSM反向代理信任设置

1. 登录DSM→点击桌面“控制面板”（齿轮图标）；

2. 在“安全”分类下，找到并点击“反向代理”（DSM 6.x路径：控制面板→安全→防火墙→反向代理）；

3. 切换至“信任的代理服务器”标签页（DSM 7.x）或“信任代理IP”（DSM 6.x）。

步骤2：添加反向代理服务器IP到信任列表

1. 点击“新增”按钮，在“代理服务器IP”中输入之前记录的代理服务器IP（如192.168.1.200）；

- 若有多层代理（如CDN+Nginx），需点击“新增”逐一添加所有代理IP（如CDN节点IP 203.0.113.5、Nginx IP 192.168.1.200）；

2. （可选）若代理服务器使用HTTPS，勾选“信任此代理服务器发送的HTTPS请求”；

3. 点击“确定”，此时DSM会信任该IP传递的真实IP头。

步骤3：启用真实IP解析（DSM 7.x优化项）

部分DSM 7.x版本需手动启用“基于X-Forwarded-For头解析真实IP”：

1. 进入“控制面板→安全→高级”；

2. 找到“HTTP头设置”，勾选“允许从信任的代理服务器获取客户端IP”；

3. 点击“应用”保存设置，DSM即可优先使用X-Forwarded-For头中的真实IP记录日志。

四、效果验证：3种方法确认客户端真实IP已显示

配置完成后，需通过DSM日志或命令行验证，确保真实IP已正确记录，避免“配置无效”却未发现：

方法1：查看DSM安全日志（最直观）

1. 登录DSM→打开“控制面板→日志中心”；

2. 左侧选择“日志类型→安全”，筛选“事件类型”为“登录”或“访问拒绝”；

3. 找到最新的访问记录，查看“IP地址”列：若显示客户端真实IP（如192.168.1.105），而非代理服务器IP（192.168.1.200），说明配置成功。

方法2：查看DSM访问日志（技术人员首选）

通过SSH登录NAS，直接查看访问日志文件，确认真实IP：

1. 启用DSM SSH服务（控制面板→终端机和SNMP→启用SSH服务）；

2. 用PuTTY或终端登录NAS（如`ssh admin@192.168.1.100`），获取root权限：`sudo -i`；

3. 查看DSM Web服务日志（默认路径）： 

`cat /var/log/nginx/access.log`（DSM 7.x Web服务基于Nginx）； 

日志中若包含类似内容：`192.168.1.105 - [25/Oct/2024:14:30:00 +0800] "GET / HTTP/1.1" 200`，说明真实IP已记录（192.168.1.105为客户端IP）。

方法3：通过Synology Drive验证（实际使用场景）

1. 用客户端电脑（IP 192.168.1.105）通过反向代理域名（nas.yourdomain.com）登录Synology Drive；

2. 进入DSM“日志中心→应用程序→Synology Drive”；

3. 查看“访问记录”，确认“IP地址”为客户端真实IP，而非代理IP。

五、常见问题解答（FAQ）：配置后仍不显示真实IP的解决方案

1. Q：配置后DSM日志仍显示代理服务器IP，怎么办？

A：优先排查3个关键点：

- ① 代理服务器IP是否已加入DSM“信任的代理服务器”列表（漏加会导致DSM不解析X-Forwarded-For头）；

- ② 代理服务器配置是否正确：Nginx需确认`proxy_set_header`指令在`location /`块内，Apache需确认`mod_headers`模块已启用；

- ③ 多层代理场景是否遗漏上层IP：如CDN→Nginx→NAS，需将CDN节点IP和Nginx IP均加入DSM信任列表。

2. Q：DSM 6.x没有“反向代理”标签页，如何配置信任IP？

A：DSM 6.x路径差异，操作如下：

1. 进入“控制面板→安全→防火墙”；

2. 点击“反向代理”标签页（部分6.x版本在“高级”中）；

3. 找到“信任的代理服务器IP”，点击“新增”添加代理IP，其他配置与7.x一致。

3. Q：使用HTTPS反向代理时，真实IP显示正常，但DSM提示“不安全连接”？

A：问题出在协议传递，解决方案：

- 代理服务器配置中添加`X-Forwarded-Proto $scheme`（Nginx）或`RequestHeader set X-Forwarded-Proto "%{REQUEST_SCHEME}s"`（Apache）；

- DSM端进入“控制面板→网络→DSM设置”，勾选“自动将HTTP请求重定向到HTTPS”，确保协议识别正确。

4. Q：客户端通过手机热点访问（IP动态变化），能否显示真实IP？

A：可以，核心条件：

- 代理服务器正确传递`X-Forwarded-For`头（记录动态变化的手机IP）；

- DSM信任代理服务器IP（与客户端IP是否动态无关），只要头传递正确，即可显示手机真实热点IP。

六、总结与安全建议

Synology NAS通过反向代理显示客户端真实IP的核心逻辑是“代理传递IP头+DSM信任解析”——Nginx/Apache负责将真实IP封装到HTTP头中，DSM通过信任代理IP，优先读取头中的真实IP记录日志。配置时需注意：多层代理需全量信任IP、协议头传递避免HTTPS识别错误、配置后及时验证日志。

为保障安全，建议：

1. 最小化信任IP范围：仅添加必要的代理服务器IP，避免开放所有IP（降低被伪造X-Forwarded-For头攻击的风险）；

2. 定期审计代理配置：若代理服务器IP变更，需及时更新DSM信任列表，避免配置失效；

3. 启用DSM日志留存：进入“日志中心→设置”，将日志保留时间延长至90天以上，便于安全追溯。

若您遇到“特定代理服务器（如Traefik）配置”“DSM 7.2新界面适配”等问题，可参考Synology官方文档（https://kb.synology.cn/zh-cn/DSM/tutorial/system_reveal_client_ip_when_nas_accessed_via_reverse_proxy）获取型号细节，或提供您的代理服务器类型与DSM版本，我帮您定制专属配置方案。

需要我为您整理一份《反向代理显示真实IP配置速查表》吗？包含Nginx/Apache配置代码、DSM操作路径及验证步骤，方便您快速核对操作，避免遗漏关键环节？