Zdalne adresy IP z HAProxy

Testuję nową konfigurację serwera WWW, która ma kilka problemów. Zasadniczo mamy serwer WWW, w którym kod używa zdalnego adresu IP do niektórych interesujących rzeczy, a także niektóre katalogi apache zabezpieczone do niektórych określonych adresów IP (nasze biuro itp.).

Jednak właśnie zarzuciliśmy to za ha_proxy, abyśmy mogli spojrzeć na dodanie kolejnych serwerów aplikacji, ale teraz zdalny adres IP zawsze pojawia się jako adres IP serwera proxy, a nie prawdziwy zdalny użytkownik. Oznacza to, że nie możemy dostać się do niektórych lokalizacji, a nasza aplikacja zachowuje się nieco dziwnie tam, gdzie ważne jest IP użytkownika.

Nasza konfiguracja wygląda następująco:

global
      maxconn 4096
      pidfile /var/run/haproxy.pid
      daemon

defaults
      mode http
      retries 3
      option redispatch
      maxconn 2000
      contimeout 5000
      clitimeout 50000
      srvtimeout 50000

listen farm xxx.xxx.xxx.xxx:80
      mode http
      cookie GALAXY insert
      balance roundrobin
      option httpclose
      option forwardfor
      stats enable
      stats auth username:userpass

      server app1 xxx.xxx.xxx.xxx:80 maxconn 1 check

Cytat z dokumentu HAProxy na haproxy.1wt.eu .

- jeśli aplikacja musi zarejestrować adres IP oryginalnego klienta, użyj
  Opcja „forwardfor”, która doda nagłówek „X-Forwarded-For” wraz z
  oryginalny adres IP klienta. Aby to zapewnić, musisz również użyć „httpclose”
  że przepiszesz każde żądanie, a nie tylko każde pierwsze
  sesja:
        opcja httpclose
        opcja przekazania do

Stwierdzono, że aplikacja musi traktować nagłówek HTTP X-Forwarded-For, aby poznać adres IP klienta. Wydaje się, że to jedyna droga w twojej sprawie.

Zaktualizowano dla HAProxy 1.4

Haproxy 1.4 wprowadził nowy tryb z opcją „zamknij serwer http”. Nadal zamknął połączenie z serwerem, ale jeśli to możliwe, utrzymywał połączenie z klientem. W większości konfiguracji prawdopodobnie chcesz tego użyć, ponieważ pomaga to w opóźnieniu pojedynczej części połączenia o wysokim opóźnieniu (między Haproxy a klientem).

   option http-server-close
   option forwardfor

Istnieje sposób na rekompilację HAproxy, aby uwzględnić Tproxy, co pozwoli na przekazywanie adresu źródłowego.

Jest tutaj post na blogu: http://blog.loadbalancer.org/configure-haproxy-with-tproxy-kernel-for-full-transparent-proxy/

Kilka uwag:

Najnowsze jądro Linuksa (2.6.28-11-serwer) zawiera obsługę TProxy, więc rekompilacja jądra nie jest konieczna.

Pamiętaj, aby skonfigurować serwery w swojej farmie internetowej z domyślnym adresem bramy, który wskazuje na serwer HAProxy.

Użyj modułu apache rpaf http://stderr.net/apache/rpaf/ Wiem, że to jest stary post, ale znalezienie go zajęło mi kilka dni. Spowoduje to przedstawienie każdej aplikacji adresu IP przesłanego przez x.

Zauważ, że wydaje się, że możesz przesłonić to, co widzi aplikacja zmieniając nagłówki Apache:

SetEnvIf X-Forwarded-For (.*) REMOTE_ADDR=$1
SetEnvIf X-Forwarded-For (.*) REMOTE_IP=$1

Nie działa to jednak w przypadku dostępu do Apache poprzez „Zezwól z” itp.

HAProxy z założenia nie może przekazać oryginalnego adresu IP do prawdziwego serwera, podobnie jak inne serwery proxy.

Jednym rozwiązaniem może być, jeśli twoim jedynym problemem jest serwer WWW, zajrzenie do nagłówka HTTP przesyłanego przez X, który powinien zawierać adres klienta. Teraz jest to dość specyficzne dla aplikacji / języka, ale spójrz na ten przykład w php:

$headers = apache_request_headers();

$real_client_ip = $headers["X-Forwarded-For"];

Jeśli chcesz również zapisać oryginalny adres, możesz zmodyfikować LogFormat w httpd.conf, aby wyglądał mniej więcej tak:

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{X-Forwarded-For}i\"" common

Wygląda na to, że X-Forwarded-for nie działa dobrze w twojej konfiguracji. Czy jest więc jakiś szczególny powód, aby trzymać się haproksy? Wygląda na to, że IPVS jest bardziej odpowiedni dla twoich potrzeb (faktycznie używam ldirectora, który z kolei używa ipvs).

Spojrzeć na:

http://kb.linuxvirtualserver.org/wiki/IPVS

i

http://www.vergenet.net/linux/ldirectord/

Korzystanie z IPVS w trybie „Tunelowanie IP” lub „Bezpośredni routing” zachowuje adres klienta.

Wypróbuj mod_extract_forwarded z http://www.openinfo.co.uk/apache/

LoadModule extract_forwarded_module modules/mod_extract_forwarded.so
MEFOrder refuse,accept
MEFRefuse all
MEFAccept xxx.xxx.xxx.xxx

Prosty sposób dzięki haproxy w trybie tcp i nginx:

dodaj send-proxy jako opcję serwera:

haproxy.conf:

.

.

posłuchaj ssl 0.0.0.0:443

tryb tcp

bilansuj najmniej połącz

opcja httpchk GET / ping

opcja sprawdzanie kondycji dziennika

serwer w1 192.168.1.1:443 send-proxy sprawdź sprawdź-ssl sprawdź brak

serwer w2 192.168.1.1:443 send-proxy sprawdź sprawdź-ssl sprawdź brak

.

.

Nginx potrzebuje obsługi protokołu proxy

nginx.conf:

.

.

Listen 192.168.1.1:443 ssl proxy_protocol;

.

.

set_real_ip_od 192.168.1.0/24;

real_ip_header proxy_protocol;

.

.