主页 / server / 问题

问题[x-forwarded-for](server)

Martin Hope
Martijn Heemels
Asked: 2017-02-24 09:22:43 +0800 CST
  • 3

我让 Varnish 在反向代理后面运行(在 localhost 上运行,用于 SSL 卸载)。代理设置 X-Forwarded-For 标头,如果标头已存在,则将其自身添加到其中。

当我进行 ACL 检查时,我当然想检查原始客户端的 IP,而不是我的代理的 IP,所以我不能使用该client.ip字段。使用stdvmod 我可以执行以下操作:

vcl 4.0;
import std;
sub vcl_recv {
    if (std.ip(regsub(req.http.X-Forwarded-For, ", 127.0.0.1$", ""), "0.0.0.0") ~ my_acl) {
        ...do stuff...
    }
}

换句话说,在运行它std.ip并将其与我的 ACL 进行比较之前,我从标头中修剪了代理的 IP (127.0.0.1)。这工作正常,除了...

当 X-Forwarded-For 标头在到达我的代理之前已经设置时,这将失败。在这种情况下,XFF 标头包含三个或更多 IP 地址。修剪最后一个仍然会留下不止一个并std.ip因此而窒息,将请求延迟几秒钟,当然也无法检查 ACL。

在我关闭代理后,我需要确保 XFF 标头仅包含一个 IP(IPv4 或 IPv6)。这应该是客户端的 IP。

例如:

X-Forwarded-For: 10.10.1.1, 10.10.2.2, 2001:a031:100a:dead:beef:1234:1234:1234, 127.0.0.1

应该成为

X-Forwarded-For: 2001:a031:100a:dead:beef:1234:1234:1234, 127.0.0.1

由于我不能信任从外部传入的任何 XFF 标头,因此我想丢弃除代理看到的客户端 IP 之外的任何内容。我的代理不支持修改 XFF 标头,所以我需要在 Varnish 中进行。

当我可以与标题交互时,Varnish 流程中的第一个点是 in vcl_recv(),此时 Varnish 已经将 添加client.ip到列表的末尾。

我希望使用正则表达式将最后两项(IPv4 或 IPv6)捕获到带编号的捕获组($1)中,并简单地将标头替换为捕获组。像这样:

vcl 4.0;
import std;
sub vcl_recv {
    set req.http.X-Forwarded-For = regsub(req.http.X-Forwarded-For, "([a-f0-9:.]+, [a-f0-9:.]+)$", "\1");
}

第三个参数(替换正则表达式匹配的字符的字符串)不起作用。生成的标头与以前完全相同,即使正则表达式仅捕获最后两个 IP 地址。

除了 XFF 标头中的最后两个 IP 地址之外,我如何丢弃其他任何内容?

varnish regex reverse-proxy x-forwarded-for
Martin Hope
Mugurel
Asked: 2016-10-27 11:18:29 +0800 CST
  • 0

我最近继承了一个基础设施,所有用户都通过 AWS ELB -> nginx 代理 -> AWS ELB -> Apache。我看到的问题是客户端的 IP 在 Apache 中显示了两次,类似于以下行:

"x.x.x.x, x.x.x.x" - - [26/Oct/2016:18:59:10 +0000] "GET /....

nginx 对这个虚拟主机的访问日志很好,花花公子:

x.x.x.x - - [26/Oct/2016:18:59:10 +0000] "GET /

问题是我不确定如何调试丢失的地方。我认为它要么是 nginx 发送的标头,要么是 Apache 中的一些奇怪的东西,尽管我怀疑它是 nginx 传递的 X-Forwarded-For 标头。以下是受影响域的相关虚拟主机配置:

location / { if ($xxx-example-com-maintenance) { return 503; } if ($http_origin ~* (https?://xxx\.example\.com)) { add_header 'Access-Control-Allow-Origin' "$http_origin"; } proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass $upstream;

现在,Apache 的日志格式如下所示:

LogFormat "\"%{X-Forwarded-For}i\" %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\" SESSION-%{frontend}C %h" forwarded

后者是从以前的 Web 堆栈中复制的,并且工作得很好。有点卡在这里,因为从我的角度来看,这一切看起来都很好。我确实发现nginx real_ip_header 和 X-Forwarded-For 似乎是错误的,但是我正在运行 nginx 1.10。Apache 版本是 2.4.23。任何有关如何进一步解决此问题的见解将不胜感激。提前致谢。

nginx apache-2.4 x-forwarded-for
Martin Hope
Ronnie Jespersen
Asked: 2012-05-24 13:42:01 +0800 CST
  • 3

所以我有一个像 Nginx -> varnish -> apache2 这样的设置如果我收到一个带有静态文件的请求,它会通过 nginx 发送到 varnish 然后再次返回到 nginx,因为它比让 apache2 服务器快得多。我的问题是当我做一个

sub vcl_fetch {
    set beresp.http.X-Tabulex-Client = client.ip;

查看客户端 ip 地址是什么我被告知它的 127.0.0.1 (X-Tabulex-Client 127.0.0.1) 在 vcl_recv 我有:

sub vcl_recv {
    if ((!req.url ~"^/typo3temp/*" && !req.url ~"^/typo3/*") &&req.url ~"\.(jpg|css|gif|png|js)(\?.*|)$"){
        set req.backend = aurum;
        set client.identity = req.http.X - Forwarded - For;
    } elseif(client.ip == "192.168.3.189") {
        /* Traffic from the other Varnish server, serve using real backends */
        set req.backend = balance;
        /* Set client.identity to the X-Forwarded-For (the real IP) */
        set client.identity = req.http.X - Forwarded - For;
    } else{
        /* Traffic coming from internet, use the other Varnish as backend */
        set req.backend = iridium;
    }
}

nginx 配置包含

proxy_set_header  X-Real-IP  $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_intercept_errors on;

第一次发送到清漆时,再次从清漆接收时什么也没有。

我不确定问题出在哪里。我希望 client.ip 包含外部 ip 地址,以便我可以将它用于 acl。有任何想法吗?

ubuntu apache-2.2 nginx varnish x-forwarded-for
Martin Hope
Eric Fortis
Asked: 2012-05-22 18:00:39 +0800 CST
  • 1

有一个硬件 LB 将 http 重定向到仅在 443 侦听的 Nginx SSL Offloader。我无权访问 LB,但我需要验证它是否正在注入X-Forwarded-For标头。

为什么?我正在尝试记录客户端 IPhttp {

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    '$status $body_bytes_sent "$http_referer" '
    '"$http_user_agent" "$http_x_forwarded_for"';

server {

access_log    logs/access.log main;
set_real_ip_from       10.10.10.10;  #LB VirtualService IP
real_ip_header     X-Forwarded-For;

但它没有记录。我在这里缺少什么?

PD Nginx 1.0.14编译--with-http_realip_module

load-balancing nginx x-forwarded-for
Martin Hope
Pure.Krome
Asked: 2009-07-28 20:14:30 +0800 CST
  • 7

我有一个由我们的托管服务提供商管理的 F5 Big-IP。它专用于我们的私有 VLAN 等。效果很好:)

我们要求他们添加一个 X-Forwarded-For HTTP-Header 字段。他们已经做到了,我们现在可以在代码中访问它。惊人的 :)

但是..对于我们的 IIS 日志,它仍然是 F5 机器的 IP。我想有人告诉我,我们需要对 IIS 服务器应用 ISAPI 过滤器(畏缩!)。

  1. 有人可以证实这一点吗?
  2. 如果#1 == 是,是否有文件/说明如何在 Windows 2008 机器上为我们的 IIS7 Web 服务器执行此操作。
logging iis-7 f5-big-ip x-forwarded-for isapi