You are viewing a plain text version of this content. The canonical link for it is here.

Posted to users-de@httpd.apache.org by Patrick Holz <pa...@uni-koeln.de> on 2008/01/16 16:06:57 UTC

IP-Begrenzung und Reverse Proxy

Hallo Liste,

wir sind vor kurzem auf den Apache 2.2 umgestiegen (von 2.0) und haben 
das folgende Problem:

Wir betreiben einen Reverse Proxy, der Anfragen auf einen 
dahinterliegenden "normalen" Webserver weiterleitet. Dank mod_rpaf 
konnten wir dabei stets die Client-IP abfragen, sei es in den Logfiles 
oder zur IP-basierten Zugriffsbeschränkung. Seit dem Umstieg auf 
Apache 2.2 wird zwar die Client-IP immer noch in die Logfiles 
geschrieben und taucht auch bei Abfragen der Umgebungsvariablen als 
"Remote_Addr" und "HTTP_X_Forwarded_For" auf, die Zugriffsbeschränkung 
akzeptiert jedoch lediglich die IP des Proxies und funktioniert somit 
nicht mehr.

Somit funktioniert zwar das Folgende:

SetEnvIf Remote_Addr "^134\.95\.(48)|(128)" GrantAccess
Order deny,allow
deny from all
allow from env=GrantAccess

Aber das bisherige funktioniert nicht mehr:

Order deny,allow
deny from all
allow from 134.95.48. 134.95.128.

Kann mir jemand sagen, welche Variable die Direktiven neuerdings 
abfragen und ob man sie (ähnlich wie Remote_Addr mit mod_rpaf) 
manipulieren kann? Ich würde ungern die geschätzten 200 
.htaccess-Dateien umschreiben müssen...

Danke vielmals im Voraus!

MfG / Kind regards, Patrick Holz

-- 
Dipl.-Wirt.-Inf. Patrick Holz           University of Cologne
Mail: patrick.holz@uni-koeln.de         ZAIK/RRZK
Tel.: 49-(0)221-478-7002                Robert-Koch-Str. 10
URL: http://www.uni-koeln.de/~a0646     D-50931 Cologne (Germany)

Re: IP-Begrenzung und Reverse Proxy

Posted by Patrick Holz <pa...@uni-koeln.de>.

Hallo nochmal,

schön, wenn man dann doch selbst ne Lösung findet. :)

Das Modul mod_extract_forwarded funktioniert mit Apache 2.2 und hat 
gerade mein mod_rpaf ersetzt.

MfG / Kind regards, Patrick Holz

-- 
Dipl.-Wirt.-Inf. Patrick Holz           University of Cologne
Mail: patrick.holz@uni-koeln.de         ZAIK/RRZK
Tel.: 49-(0)221-478-7002                Robert-Koch-Str. 10
URL: http://www.uni-koeln.de/~a0646     D-50931 Cologne (Germany)

Re: IP-Begrenzung und Reverse Proxy

Posted by Patrick Holz <pa...@uni-koeln.de>.

Hallo,

 > Vielleicht spielt IPv6 da rein? Bei mir ist alles noch IPv4-basiert.

Kann eigentlich nicht sein, da es funktioniert, wenn ich die 
(IPv4-)Adresse des Proxies eintrage.

 > Ich verwende mod_rpaf in der Version 0.5.

Ich hab's mit 0.5 und 0.6 versucht. Apache läuft bei uns in Version 
2.2.3 (RedHat).

Jemand noch eine Idee?

MfG / Kind regards, Patrick Holz

-- 
Dipl.-Wirt.-Inf. Patrick Holz           University of Cologne
Mail: patrick.holz@uni-koeln.de         ZAIK/RRZK
Tel.: 49-(0)221-478-7002                Robert-Koch-Str. 10
URL: http://www.uni-koeln.de/~a0646     D-50931 Cologne (Germany)

Re: IP-Begrenzung und Reverse Proxy

Posted by Max Dittrich <ma...@t-online.de>.

Hallo,

Patrick Holz schrieb:
> wir sind vor kurzem auf den Apache 2.2 umgestiegen (von 2.0) und haben 
> das folgende Problem:
> 
> Wir betreiben einen Reverse Proxy, der Anfragen auf einen 
> dahinterliegenden "normalen" Webserver weiterleitet. Dank mod_rpaf 
> konnten wir dabei stets die Client-IP abfragen, sei es in den Logfiles 
> oder zur IP-basierten Zugriffsbeschränkung. Seit dem Umstieg auf Apache 
> 2.2 wird zwar die Client-IP immer noch in die Logfiles geschrieben und 
> taucht auch bei Abfragen der Umgebungsvariablen als "Remote_Addr" und 
> "HTTP_X_Forwarded_For" auf, die Zugriffsbeschränkung akzeptiert jedoch 
> lediglich die IP des Proxies und funktioniert somit nicht mehr.

ich habe mod_rpaf vor Kurzem für mich entedeckt und setze es im 
Zusammenhang mit einer SSL-Proxy Konfiguration auf einer einzelnen 
Instanz ein.

Deine Fehlerbeschreibung hat mich hellhörig gemacht, konnte sie aber 
nicht nachvollziehen - sprich ein allow/deny funktioniert bei mir wie 
erwartet (auch in dieser verkürzten IP-Schreibweise).

Ich verwende mod_rpaf in der Version 0.5. Meine Apache-Installation 
basiert zwar auf den Sourcen kurz vor dem 2.2.7-Tag, aber da 
mod_authz_host offensichtlich seit längerer Zeit nicht verändert wurde, 
sollte das keinen Einfluss haben.

Vielleicht spielt IPv6 da rein? Bei mir ist alles noch IPv4-basiert.

Grüsse,
.max

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------