Vielleicht hat hier jemand eine Idee zu Apache 2.4
Aktuell 2 Optionen und beide nicht benutzbar
LoadModulerpaf_module modules/mod_rpaf-2.0.so
RPAFenableOn
RPAFproxy_ips 127.0.0.1 10.0.0.4 10.0.0.103 91.118.73.4
RPAFsethostname Off
RPAFheaderX-Forwarded-For
LoadModuleremoteip_module modules/mod_remoteip.so
RemoteIPHeaderX-Forwarded-For
RemoteIPInternalProxy 127.0.0.1 10.0.0.4 10.0.0.103 91.118.73.4
Erwünschtes und getestetes Verhalten mod_rpaf Apache 2.2
vor dem Einsatz von Apache Trafficserver:
* IP die in Logs steht ist X-Forwarded-For des Proxy
* IP die mod_security sieht ist X-Forwarded-For des Proxy
* IP die PHP in $_SERVER['REMOTE_ADDR'] sieht ist X-Forwarded-For des Proxy
Mit Apache 2.4 stimmt entweder die IP im Log nicht (mod_remoteip)
aber dafür die von $_SERVER['REMOTE_ADDR'] in PHP oder die
IP im Log stimmt (gepatchtes mod_rpaf) aber dafür enthät
$_SERVER['REMOTE_ADDR'] in PHP-Skripts die Proxy-Adresse
Beides im Produktivbetrieb ein absolutes No-Go, mod_security
habe ich mit Apache 2.4 nicht getestet weil schon egal, aber
auch hier gilt: Ich muss wenn ich für externe Security-Scans
diverse Regeln auf IP-Basis deaktiviere die externe und nicht
die des Proxy bekommen
Original-Nachricht
Betreff: Re: mod_remoteip does NOT change access-log IP
Datum: Wed, 23 Jan 2013 18:16:56 +0100
Von: Reindl Harald h.rei...@thelounge.net
Antwort an: d...@httpd.apache.org
An: d...@httpd.apache.org
hmpf - with mod_rpaf on httpd 2.4 the access-log-ip is correct
but the REMOTE_ADDR variable in PHP-scripts has the proxy-IP
means i can not upgrade production to 2.4 because mod_remoteip
will destory usages and mod_rpaf security because you have
inside php-scripts a LAN address from the proxy
mod_rpaf on httpd 2.2 replaces for sure ANY place like access-log,
error-log and REMOTE_ADDR in scripts with the X-Forwarded-For
from the trusted apache trafficserver
SERVER_ADDR 10.0.0.99
SERVER_PORT 8080
REMOTE_ADDR 10.0.0.103
Am 23.01.2013 18:08, schrieb Reindl Harald:
however:
http://vova-zms.blogspot.co.at/2012/07/install-modrpaf-with-apache-24.html
patched mod_rpaf works with 2.4 but it would be really nice
to have EXACTLY it's behavior in mod_remoteip because i see
no way how i sell my customers chaning usages nor can i change
the configuration of logging because a very mixed environement
of vurtual hosts with or without trafficserver
Am 23.01.2013 17:06, schrieb Reindl Harald:
hi
LoadModuleremoteip_module modules/mod_remoteip.so
RemoteIPHeaderX-Forwarded-For
RemoteIPInternalProxy 127.0.0.1 10.0.0.4 10.0.0.103 91.118.73.4
PHP - fine, exactly how it should do:
_SERVER[SERVER_ADDR] 10.0.0.99
_SERVER[SERVER_PORT] 8080
_SERVER[REMOTE_ADDR] 10.0.0.99
BUT access-log contains the ip of the apache trafficserver
this is a major problem for replace mod_rafp with mod_remoteip
because webalizer-usages are more or less useless
10.0.0.103 - - [23/Jan/2013:17:01:53 +0100] GET /images/page/tidy_16.gif
HTTP/1.1 304 -
http://www.test.rh:8080/; Mozilla/5.0 (X11; Linux x86_64; rv:18.0)
Gecko/20100101 Firefox/18.0 (-%)
signature.asc
Description: OpenPGP digital signature
