Vielleicht hat hier jemand eine Idee zu Apache 2.4 Aktuell 2 Optionen und beide nicht benutzbar ____________________________
LoadModule rpaf_module "modules/mod_rpaf-2.0.so" RPAFenable On RPAFproxy_ips 127.0.0.1 10.0.0.4 10.0.0.103 91.118.73.4 RPAFsethostname Off RPAFheader X-Forwarded-For ____________________________ LoadModule remoteip_module "modules/mod_remoteip.so" RemoteIPHeader X-Forwarded-For RemoteIPInternalProxy 127.0.0.1 10.0.0.4 10.0.0.103 91.118.73.4 ____________________________ Erwünschtes und getestetes Verhalten mod_rpaf Apache 2.2 vor dem Einsatz von "Apache Trafficserver": * IP die in Logs steht ist "X-Forwarded-For" des Proxy * IP die mod_security sieht ist "X-Forwarded-For" des Proxy * IP die PHP in $_SERVER['REMOTE_ADDR'] sieht ist "X-Forwarded-For" des Proxy ____________________________ Mit Apache 2.4 stimmt entweder die IP im Log nicht (mod_remoteip) aber dafür die von $_SERVER['REMOTE_ADDR'] in PHP oder die IP im Log stimmt (gepatchtes mod_rpaf) aber dafür enthät $_SERVER['REMOTE_ADDR'] in PHP-Skripts die Proxy-Adresse Beides im Produktivbetrieb ein absolutes No-Go, mod_security habe ich mit Apache 2.4 nicht getestet weil schon egal, aber auch hier gilt: Ich muss wenn ich für externe Security-Scans diverse Regeln auf IP-Basis deaktiviere die externe und nicht die des Proxy bekommen -------- Original-Nachricht -------- Betreff: Re: mod_remoteip does NOT change access-log IP Datum: Wed, 23 Jan 2013 18:16:56 +0100 Von: Reindl Harald <[email protected]> Antwort an: [email protected] An: [email protected] hmpf - with "mod_rpaf" on httpd 2.4 the access-log-ip is correct but the "REMOTE_ADDR" variable in PHP-scripts has the proxy-IP means i can not upgrade production to 2.4 because "mod_remoteip" will destory usages and "mod_rpaf" security because you have inside php-scripts a LAN address from the proxy "mod_rpaf" on httpd 2.2 replaces for sure ANY place like access-log, error-log and REMOTE_ADDR in scripts with the "X-Forwarded-For" from the trusted apache trafficserver SERVER_ADDR 10.0.0.99 SERVER_PORT 8080 REMOTE_ADDR 10.0.0.103 Am 23.01.2013 18:08, schrieb Reindl Harald: > however: > http://vova-zms.blogspot.co.at/2012/07/install-modrpaf-with-apache-24.html > > patched "mod_rpaf" works with 2.4 but it would be really nice > to have EXACTLY it's behavior in "mod_remoteip" because i see > no way how i sell my customers chaning usages nor can i change > the configuration of logging because a very mixed environement > of vurtual hosts with or without trafficserver > > Am 23.01.2013 17:06, schrieb Reindl Harald: >> hi >> >> LoadModule remoteip_module "modules/mod_remoteip.so" >> RemoteIPHeader X-Forwarded-For >> RemoteIPInternalProxy 127.0.0.1 10.0.0.4 10.0.0.103 91.118.73.4 >> ________________________ >> >> PHP - fine, exactly how it should do: >> _SERVER["SERVER_ADDR"] 10.0.0.99 >> _SERVER["SERVER_PORT"] 8080 >> _SERVER["REMOTE_ADDR"] 10.0.0.99 >> ________________________ >> >> BUT access-log contains the ip of the apache trafficserver >> this is a major problem for replace mod_rafp with mod_remoteip >> because webalizer-usages are more or less useless >> >> 10.0.0.103 - - [23/Jan/2013:17:01:53 +0100] "GET /images/page/tidy_16.gif >> HTTP/1.1" 304 - >> "http://www.test.rh:8080/"; "Mozilla/5.0 (X11; Linux x86_64; rv:18.0) >> Gecko/20100101 Firefox/18.0" (-%)
signature.asc
Description: OpenPGP digital signature
