nginx x-real-ip

Дмитрий Леоненко dmitry.leonenko at gmail.com
Wed Dec 27 21:43:45 MSK 2006 

Жаль, что нет возможности смоделировать ситуацию (не хочеться рушить рабочую
схему и ставить RPAF), но я себе это представляю так:
На самый фронтендный (первый) nginx приходит клиент, которому, допустим,
squid уже задал x-forwarded-for, допустим это 11.11.11.11. После прохода
через первый nginx x-forwarded-for принимает значение 11.11.11.11,
22.22.22.22  При условии, что 22.22.22.22 - это squid'а. На втором nginx'е я
вообще не пойму, что твориться, но как я понимаю, к апачу опять таки
попадает заголово с двумя ip... Его можно посмотреть через простой php
скрипт... Кстати сказать, на такой факт apache реагирует очень неоднозначно.
Дело в том, что на практике он перестает пусть в директории, в которые стоит
ограничение по ip, даже если оба ip из заголовков прописаны в "Allow from
...."

Игорь, если я где-то ошибся - исправь меня.


2006/12/27, Denis F. Latypoff <latypoff at yandex.ru>:
>
> Hello Дмитрий,
>
> Wednesday, December 27, 2006, 9:14:21 PM, you wrote:
>
> > В X-Forwarded-For бывает и 2 ip адреса... какой он берет? Squid допустим
> > устанавливает этот заголовок...
> > Какой он будет брать ip? Первый? Второй? Третий?
>
> тогда на первом nginx'е
>
>        proxy_set_header    X-Forwarded-For $remote_addr;
>
> на втором
>
>        set_real_ip_from   nginx1_ip;
>        real_ip_header     X-Forwarded-For;
>        proxy_set_header   X-Forwarded-For $remote_addr;
>
> на апаче
>        RPAFenable On
>        RPAFproxy_ips nginx2_ip
>        RPAFsethostname On
>
> > 27.12.06, Denis F. Latypoff <latypoff at yandex.ru> написал(а):
> >>
> >> Hello Andrey,
> >>
> >> Tuesday, December 26, 2006, 9:41:56 PM, you wrote:
> >>
> >> > -----BEGIN PGP SIGNED MESSAGE-----
> >> > Hash: SHA1
> >>
> >> > RaPaMaN wrote:
> >> >> В сообщении от Tuesday 26 December 2006 14:56 Дмитрий Леоненко
> >> >> написал(a):
> >> >>> Игорь, а если у меня стоят 2 nginx в цепочке, а за ними апач. Как
> >> >>> мне от первого nginx через второй пробросить ip реального клиента
> >> >>> апачу?
> >> >>
> >> >> Добавлю к ответу Игоря.
> >> >>
> >> >> А на апаче rpaf + patch, чтобы он парсил заголовок X-Real-IP и все
> >> > Ответил называется.:) А что в параметре прокси для rpaf пишем? Адрес
> >> > локального nginx, или адрес фронтенда? Понятно, что после запуска
> >> > будет видно, но хотелось бы знать до того.
> >>
> >>
> >> mod_rpaf понимает X-Forwarded-For, зачем использовать X-Real-IP?
> >>
> >> --
> >> Best regards,
> >> Denis Latypoff                          mailto:latypoff at yandex.ru
> >>
> >>
> >>
>
>
>
> --
> Best regards,
> Denis Latypoff                          mailto:latypoff at yandex.ru
>
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20061227/15e80425/attachment.html>

More information about the nginx-ru mailing list