探讨Nginx的源IP获取与用户真实IP识别

admin

在Nginx配置中，设置如下指令：
```
set_real_ip_from 0.0.0.0/0;
real_ip_header X-Forwarded-For;
real_ip_recursive on;
```
这些是用来获取客户端的真正IP地址的。然而，
```
deny ip;
allow ip;
```
这两行规则中的"ip"指的是原始请求到达服务器的IP（即回源IP），而非经过代理（如X-Forwarded-For头）的访客实际IP。
我的理解是否准确：如果网站使用了Cloudflare这样的CDN，仅允许Cloudflare的IP回源，我们能够使用`allow`指令配合Cloudflare的IP范围，并搭配`deny all`来实现。但若意图阻止特定用户IP访问，直接使用`deny ip`将无效，因为它针对的是上游（如CDN）的IP，而非最终用户IP。
请问我的理解是否正确？最近ChatGPT让我有些困惑，所以我想向懂行的朋友求证一下。