<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Title" content="">

<meta name="Keywords" content="">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Verdana;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:DengXian;

        panose-1:2 1 6 0 3 1 1 1 1 1;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:#954F72;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

span.EmailStyle18

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;

        color:#1F497D;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

span.msoIns

        {mso-style-type:export-only;

        mso-style-name:"";

        text-decoration:underline;

        color:teal;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style>

</head>

<body bgcolor="white" lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt">Even though it seems wrong, I’m still going to try adding “always” to that just to test. But I agree that it is not likely going to make a difference since my goal is to send a value upstream and not apply

 it to the return from upstream.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt">To answer the other, if I inspect the page that comes back with the 403 error, none of the headers I listed below appear. But if I inspect a page that comes back as 200, then the headers are present.

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt">The order of operation is this<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt">User make request to Nginx <o:p>

</o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt">-> Nginx makes proxy request to our URL rewrite proxy

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt">-> the url rewrite proxy makes a request to the web application<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt">The goal is for the client IP to make it to the web application. It is clear that nginx needs to pass the header to the second proxy which will then pass it along to the web app. It seems that the proxy_set_header

 is what I need to add but it does not seem to be happening.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt">Is there any explanation why the proxy_set_header may not actually get set?<o:p></o:p></span></p>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;color:black"><o:p> </o:p></span></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#005493">___________________________________________</span><span style="font-size:11.0pt;color:black"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#005493">Michael Friscia</span><span style="font-size:11.0pt;color:black"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#005493">Office of Communications<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#005493">Yale School of Medicine</span><span style="font-size:11.0pt;color:black"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#005493">(203) 737-7932 – office<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#005493">(203) 931-5381 – mobile<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#005493"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#005493">http://web.yale.edu</span><span style="font-size:11.0pt;font-family:"Times New Roman",serif;color:black"><o:p></o:p></span></p>

</div>

</div>

</div>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="color:black">From: </span></b><span style="color:black">nginx <nginx-bounces@nginx.org> on behalf of Jason Whittington <Jason.Whittington@equifax.com><br>

<b>Reply-To: </b>"nginx@nginx.org" <nginx@nginx.org><br>

<b>Date: </b>Thursday, March 15, 2018 at 4:40 PM<br>

<b>To: </b>"nginx@nginx.org" <nginx@nginx.org><br>

<b>Subject: </b>RE: Proxy requests that return a 403 error - issue with sending headers<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

</div>

<p class="MsoNormal"><span style="font-size:11.0pt">add_header is used to add a header to a

<i>response</i>.  It’s not entirely clear to me that that’s what you want to do.  But if so, add_header won’t run for non-200 return values by default.  If you want to propagate the header for error conditions add the “always” option:</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal" style="text-indent:.5in"><span style="font-size:11.0pt">add_header X-Origin-Forwarded-For $remote_addr

<b><span style="background:yellow;mso-highlight:yellow">always</span></b>;</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">But this still feels weird to me so maybe I am missing something. Why would you want to add that header to the response (other than for debugging)?   The equivalent proxy_set_header (line 4 in your example)

 seems like all you should need to me.</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">Jason</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span><o:p></o:p></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> nginx [mailto:nginx-bounces@nginx.org]

<b>On Behalf Of </b>Friscia, Michael<br>

<b>Sent:</b> Thursday, March 15, 2018 3:04 PM<br>

<b>To:</b> nginx@nginx.org<br>

<b>Subject:</b> [IE] Proxy requests that return a 403 error - issue with sending headers</span><o:p></o:p></p>

</div>

</div>

<p class="MsoNormal"> <o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">I hope I can explain this well enough to understand what I’m doing wrong.</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">The problem I am trying to solve is that I am making proxy requests to a site that has IP restrictions. Nginx is making a request to another Proxy URL rewrite server we use which then makes the request to

 the web application. So what happens without any work is that the second proxy server is making the request with the Nginx server IP address. So we made some changes to headers in Nginx to pass the client IP and then it would forward through the second proxy,

 make it to the web app and process the IP restriction. </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">I have a block in my global settings that offers these header additions.</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">add_header X-Origin-Forwarded-For $remote_addr;</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">proxy_set_header X-Forwarded-Server $hostname;</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">proxy_set_header X-Origin-Forwarded-For $remote_addr;</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">proxy_set_header Accept-Encoding identity;</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">It’s really the X-Origin… that I care about. But what seems to be happening is that for any normal request, the client IP address is being passed to the web app but when I make the request for a page that

 returns the 403 error because of the IP restriction, none of the headers above are being applied to the request. So the web app is never getting passed my custom headers.</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">My question is if there is some sort of setting I am missing and I ask that making an assumption that the problem is that Nginx is making a request without sending headers, getting the 403 error and then all

 processing stops and I just get an access denied page.</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">Any thoughts on how to handle this problem would be appreciated. I’ve tried numerous things and the root of the problem seems to be that Nginx is not making the full request. My next assumption is that this

 global configuration is to blame by having “error” in the list</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">proxy_cache_use_stale error timeout updating invalid_header http_500 http_502 http_503 http_504;</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">Thanks,</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">-mike</span><o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"> </span><o:p></o:p></p>

<p class="MsoNormal" style="text-autospace:none"><span style="font-size:10.0pt;color:#44546A">___________________________________________</span><o:p></o:p></p>

<p class="MsoNormal" style="text-autospace:none"><span style="font-size:10.0pt;color:#44546A">Michael Friscia</span><o:p></o:p></p>

<p class="MsoNormal" style="text-autospace:none"><span style="font-size:10.0pt;color:#44546A">Office of Communications</span><o:p></o:p></p>

<p class="MsoNormal" style="text-autospace:none"><span style="font-size:10.0pt;color:#44546A">Yale School of Medicine</span><o:p></o:p></p>

<p class="MsoNormal" style="text-autospace:none"><span style="font-size:10.0pt;color:#44546A">(203) 737-7932 - office</span><o:p></o:p></p>

<p class="MsoNormal" style="text-autospace:none"><span style="font-size:10.0pt;color:#44546A">(203) 931-5381 - mobile</span><o:p></o:p></p>

<p class="MsoNormal" style="text-autospace:none"><span style="font-size:10.0pt;color:#44546A"><a href="http://web.yale.edu/"><span style="color:#44546A">http://web.yale.edu</span></a></span><o:p></o:p></p>

<p class="MsoNormal"> <o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt">This message contains proprietary information from Equifax which may be confidential. If you are not an intended recipient, please refrain from any disclosure, copying, distribution or use of this information

 and note that such actions are prohibited. If you have received this transmission in error, please notify by e-mail postmaster@equifax.com. Equifax® is a registered trademark of Equifax Inc. All rights reserved.

<o:p></o:p></span></p>

</div>

</body>

</html>