主页 / server / 问题 / 442041
Accepted
jetboy
Asked: 2012-10-25 14:41:23 +0800 CST

使用 Nginx/Varnish/Apache 记录客户端 IP

  • 772

我让 Nginx 作为 SSL 终结器侦听端口 443,并将未加密的流量代理到同一台服务器上的 Varnish。Varnish 3 正在处理此流量,并且流量直接通过端口 80 进入。所有流量都未加密地传递到集群中其他服务器上的 Apache 实例。Apache 实例使用 mod_rpaf 将记录的客户端 IP 替换为 X-Forwarded-For 标头的内容。

我的问题是,如果流量来自 Nginx,而“正确的”客户端 IP 被记录在 VarnishNCSA 日志中,看起来 Varnish 正在(可以理解地)用 127.0.0.1 下游替换 Nginx 的 X-Forwarded-For 标头,这是用 Apache 记录的。如果 X-Forwarded-For 已经填充,是否有一种很好的简单方法来阻止 Varnish 重写 X-Forwarded-For?

apache-2.2

1 个回答

  1. Best Answer

    绝对地; 的 Varnish 处理X-Forwarded-For实际上只是在默认vcl_recv函数中定义。

    if (req.restarts == 0) {
    if (req.http.x-forwarded-for) {
        set req.http.X-Forwarded-For =
    req.http.X-Forwarded-For + ", " + client.ip;
    } else {
        set req.http.X-Forwarded-For = client.ip;
    }
}

    函数的默认定义始终附加到您在活动 VCL 文件中定义的函数,但如果您定义的函数始终处理请求,则默认逻辑将永远不会执行。

    vcl_recv沿着这些线设置一个:

    sub vcl_recv {
    /* Your existing logic goes here */
    /* After that, we'll insert the default logic, with the X-Forwarded-For handling removed */
    /* The return (lookup); at the end ensures that the default append behavior won't have an impact */

    if (req.request != "GET" &&
      req.request != "HEAD" &&
      req.request != "PUT" &&
      req.request != "POST" &&
      req.request != "TRACE" &&
      req.request != "OPTIONS" &&
      req.request != "DELETE") {
        /* Non-RFC2616 or CONNECT which is weird. */
        return (pipe);
    }
    if (req.request != "GET" && req.request != "HEAD") {
        /* We only deal with GET and HEAD by default */
        return (pass);
    }
    if (req.http.Authorization || req.http.Cookie) {
        /* Not cacheable by default */
        return (pass);
    }
    return (lookup);
}

    编辑:

    由于 Varnish 也直接处理某些连接,因此更好的方法可能是让它有选择地设置标头。您仍然需要包含完整的vcl_recv内容,以便默认不应用自己的标题,但将其包含在顶部:

    if (req.restarts == 0) {
    if (!req.http.x-forwarded-for) {
        set req.http.X-Forwarded-For = client.ip;
    }
}
    • 3

相关问题