reverse proxy - apache2 - IP tovabbkuldese

Linux-haladó

Udv!

Van egy 2 gepes rendszer, ahol (A) gepen van egy reverse proxy (B) gep fele (A user (A) geppel van kapcsolatban, de a kiszolgalas (B) geprol tortenik). A gondom az, hogy szeretnek (B) gepen IP alapu szurest csinalni, de az apache2 mindig az (A) gep IP- jet jeleniti meg forrasnak. Valahogy be lehet ugy allitani (A)- t, hogy ne a sajat IP- jet adja tovabb, hanem a forraset, vagy (B)- t ugy, hogy az eredeti forrast erzekelje.

Ebben a felallasban milyen megoldast javasoltok?

Hogy mukodik ez az egesz? A csak lekerdezi a source IP- t, es ezt kapja meg? Mi a helyzet proxy eseten?

Koszi.

  • 1545 megtekintés

( airween v | 2010. 04. 08., cs – 14:34 )

Valahogy be lehet ugy allitani (A)- t, hogy ne a sajat IP- jet adja tovabb, hanem a forraset, vagy (B)- t ugy, hogy az eredeti forrast erzekelje.
Igen:
http://httpd.apache.org/docs/2.2/mod/mod_proxy.html
CTRL+f X-Forwarded-For
ezt a fejlécet be tudod tenni a kérésbe, és a B-n tudod logoltatni. (lehet h benne is van a kérésben)

De neked nem biztos hogy ez kell, mivel ezt írtad:
szeretnek (B) gepen IP alapu szurest csinalni
ezt nem értem: iptables-el akarod vagy Apache mod_access-el? Előbbivel biztos h ez nem fog menni, utóbbiban sem vagyok biztos.

Miért nem A-n szűrsz?

a.

viszont mivel eddig csak a proxy IP- jet kaptam meg, ez nem volt lehetseges. Szoval apache2 configbol.

de lehet.

csak nem a source ip-re kell szűrni (ill. oda a proxyd címét kell írni), hanem arra a headerre, amibe a proxy belerakja (X-Forwarded-For, vagy valami hasonló headerben fog jönni). valamint a proxyn ezt a headert a bejövő kérésekből ki kell szűrni, hogy véletlenül se jöjjön be hülyeség.

( Vargusz | 2010. 04. 08., cs – 14:34 )

A proxy szerver nem csatol egy X-Forwarded-For mezőt a HTTP kérés fejlécébe? (Csak akkor kezelendő megbízhatóként, ha a proxy szerverben megbízol.)

Hm, mult csutortokon / penteken ment, de most valamiert nem megy. A proxy IP- je (tesztproxy) megvaltozott, at is irtam az rpaf.conf- ot: 


<IfModule mod_rpaf.c>
RPAFenable On
RPAFsethostname On
RPAFproxy_ips 172.21.39.139
</IfModule>

, de most mindig a 

 172.21.39.139

- es IP kapom meg. Apache2 restart megvolt, a fejlecben benne van ez a 2 sor: 


X-Forwarded-For: 172.21.35.223
X-Forwarded-Host: 172.21.39.139

.

Mi lehet meg a gond?

Hi!

A fenti problema ugyan megoldodott, az egyik modul ujrainstalnal a szimlink valahogy letorlodott.

Most sajnos van egy masik problema. Eddig ugye ugy volt, hogy a kiszolgalasi lancban a (B) gep volt az utolso, es a user es a (B) kozott volt a reverse proxys (A). Tehat: U->(A)->(B) . A dolog azzal tetezodott, hogy kiderult, van egy globalis proxy is, amin minden keresztul megy. Most igy nez ki a helyzet: U->(G)->(A)->(B) . B gepen szeretnem megkapni U cimet. (G)- rol semmit nem tudok, csak hogy van, es hozza sem ferek.

Most az rpaf a (B)- n van, es amikor eleri egy kereset a gepet, ilyesmit kapok: 


172.021.051.135.60226-172.021.057.194.00080: GET /repository/ HTTP/1.1
Host: (B)
User-Agent: Wget/1.11.4
Accept: */*
X-Forwarded-For: 172.21.36.68, 172.16.42.134
Cache-Control: max-stale=0
X-BlueCoat-Via: 9D0C0A2E0CC83800
Max-Forwards: 10

...

Na mindegy, szoval a lenyeg, az X-Forwarded-For sorbol az elso IP- re lenne szuksegem, de a masodikat kapom. Valahogy ez megoldhato? Ki gondolta, hogy tele van proxykkal az egesz epulet, most meg talaltam parat... .

Koszi.