Подскажите пожалуйста, есть конфиг: set_real_ip_from 10.0.0.0/8; real_ip_header X-Forwarded-For; log_format json_combined escape=json '{'

'"time_local":"$time_iso8601",'
'"client_ip":"$http_x_forwarded_for",'
'"remote_addr":"$remote_addr",'
'"remote_user":"$remote_user",'
'"request":"$request",'
'"status":"$status",'
'"body_bytes_sent":"$body_bytes_sent",'
'"request_time":"$request_time",'
'"http_referrer":"$http_referer",'
'"http_user_agent":"$http_user_agent",'
'"request_id":"$request_id"'
'}';

location /api {
allow 10.0.0.0/8;
deny all;
}

В итоге я в логах вижу такую картину и /api не защищается:
"client_ip":"79.164.xx.yy, 10.1.x.x, 10.1.y.y»,»remote_addr":"10.1.y.y»

что я делаю не так?) почему в remote_addr записывается последний, а не первый элемент цепочки?

Если мне не изменяет память, тебе нужен X-Real-IP, remote_addr всегда будет последним

Долго мучался, нашел то, что дало эффект: real_ip_recursive on;