域名与SSL

配置信任代理头部

配置 Traefik 以信任来自上游代理的转发头部，使您的应用能够看到真实的访客 IP。

Intermediate6 min readUpdated 2026-03-29

为什么需要信任代理头部？

当您的服务器位于 Cloudflare、AWS ALB 或负载均衡器等反向代理后面时，您的应用程序看到的是代理的 IP 地址，而不是真实访客的 IP。这会导致：

速率限制 — 所有请求看起来都来自同一个 IP
地理位置 — 位置数据错误
IP 黑名单 — 无法屏蔽单个访客
审计日志 — request.ip 返回代理 IP

信任代理头部告诉 Traefik 从转发头部（X-Forwarded-For、X-Real-IP）中读取真实的客户端 IP。

使用提供商预设

Server Compass 包含常用提供商的内置预设：

前往 服务器设置 > 代理 标签页
打开 信任代理头部 部分
从下拉菜单选择预设：
- Cloudflare — 自动填充所有 Cloudflare IPv4/IPv6 CIDR 范围
- AWS ALB/ELB — 输入您的 VPC CIDR（例如 10.0.0.0/16）
- DigitalOcean 负载均衡器 — 输入您的 VPC CIDR
- Hetzner 负载均衡器 — 输入您的私有网络 CIDR
- 自定义 — 手动添加受信任的 IP 范围
点击保存 — Traefik 自动重启

PROXY 协议（高级）

对于使用 PROXY 协议而非 HTTP 头部的负载均衡器（如 AWS NLB 或 HAProxy）：

展开 PROXY 协议 部分
启用 PROXY 协议
添加负载均衡器的受信任 IP 范围
保存 — Traefik 配置为在 HTTP 和 HTTPS 入口点接受 PROXY 协议

安全和回滚

Server Compass 防止配置错误：

自动备份 — 每次更改前备份 traefik.yml
健康检查 — 重启 Traefik 后，Server Compass 验证容器是否运行
自动回滚 — 如果 Traefik 启动失败，恢复备份并用之前的配置重启 Traefik
不安全模式警告 — "信任所有来源" 标记为仅限开发使用，容易受到 IP 欺骗攻击

Screenshots

Frequently Asked Questions

使用 Cloudflare 时需要信任代理头部吗？

是的。如果不启用，您的应用看到的是 Cloudflare 的 IP 地址而不是访客的真实 IP。选择 Cloudflare 预设以自动信任所有 Cloudflare IP 范围。

输入错误的 IP 范围会发生什么？

Server Compass 在每次更改前创建备份，如果 Traefik 启动失败会自动回滚。您始终可以重新编辑设置。

Video Tutorials

Apps Showing Wrong IP Behind Cloudflare? Fix It in One Click

Learn how to fix apps showing the wrong visitor IP when behind Cloudflare proxy using Server Compass's Trust Proxy Headers feature.

Watch tutorial

Related Features

Trust Proxy Headers

Configure Traefik to trust forwarded headers from upstream proxies so apps see real visitor IPs. Built-in presets for Cloudflare, AWS ALB, DigitalOcean, and Hetzner with automatic rollback on failure.

Visual Domain Management

Add and configure domains with an intuitive UI. Built-in Traefik reverse proxy handles routing and load balancing.

Ready to try Server Compass?

Download the app and deploy your first application in under 5 minutes.

Download Server Compass