You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Patrick Holz <pa...@uni-koeln.de> on 2008/01/16 16:06:57 UTC
IP-Begrenzung und Reverse Proxy
Hallo Liste,
wir sind vor kurzem auf den Apache 2.2 umgestiegen (von 2.0) und haben
das folgende Problem:
Wir betreiben einen Reverse Proxy, der Anfragen auf einen
dahinterliegenden "normalen" Webserver weiterleitet. Dank mod_rpaf
konnten wir dabei stets die Client-IP abfragen, sei es in den Logfiles
oder zur IP-basierten Zugriffsbeschränkung. Seit dem Umstieg auf
Apache 2.2 wird zwar die Client-IP immer noch in die Logfiles
geschrieben und taucht auch bei Abfragen der Umgebungsvariablen als
"Remote_Addr" und "HTTP_X_Forwarded_For" auf, die Zugriffsbeschränkung
akzeptiert jedoch lediglich die IP des Proxies und funktioniert somit
nicht mehr.
Somit funktioniert zwar das Folgende:
SetEnvIf Remote_Addr "^134\.95\.(48)|(128)" GrantAccess
Order deny,allow
deny from all
allow from env=GrantAccess
Aber das bisherige funktioniert nicht mehr:
Order deny,allow
deny from all
allow from 134.95.48. 134.95.128.
Kann mir jemand sagen, welche Variable die Direktiven neuerdings
abfragen und ob man sie (ähnlich wie Remote_Addr mit mod_rpaf)
manipulieren kann? Ich würde ungern die geschätzten 200
.htaccess-Dateien umschreiben müssen...
Danke vielmals im Voraus!
MfG / Kind regards, Patrick Holz
--
Dipl.-Wirt.-Inf. Patrick Holz University of Cologne
Mail: patrick.holz@uni-koeln.de ZAIK/RRZK
Tel.: 49-(0)221-478-7002 Robert-Koch-Str. 10
URL: http://www.uni-koeln.de/~a0646 D-50931 Cologne (Germany)
Re: IP-Begrenzung und Reverse Proxy
Posted by Patrick Holz <pa...@uni-koeln.de>.
Hallo nochmal,
schön, wenn man dann doch selbst ne Lösung findet. :)
Das Modul mod_extract_forwarded funktioniert mit Apache 2.2 und hat
gerade mein mod_rpaf ersetzt.
MfG / Kind regards, Patrick Holz
--
Dipl.-Wirt.-Inf. Patrick Holz University of Cologne
Mail: patrick.holz@uni-koeln.de ZAIK/RRZK
Tel.: 49-(0)221-478-7002 Robert-Koch-Str. 10
URL: http://www.uni-koeln.de/~a0646 D-50931 Cologne (Germany)
Re: IP-Begrenzung und Reverse Proxy
Posted by Patrick Holz <pa...@uni-koeln.de>.
Hallo,
> Vielleicht spielt IPv6 da rein? Bei mir ist alles noch IPv4-basiert.
Kann eigentlich nicht sein, da es funktioniert, wenn ich die
(IPv4-)Adresse des Proxies eintrage.
> Ich verwende mod_rpaf in der Version 0.5.
Ich hab's mit 0.5 und 0.6 versucht. Apache läuft bei uns in Version
2.2.3 (RedHat).
Jemand noch eine Idee?
MfG / Kind regards, Patrick Holz
--
Dipl.-Wirt.-Inf. Patrick Holz University of Cologne
Mail: patrick.holz@uni-koeln.de ZAIK/RRZK
Tel.: 49-(0)221-478-7002 Robert-Koch-Str. 10
URL: http://www.uni-koeln.de/~a0646 D-50931 Cologne (Germany)
Re: IP-Begrenzung und Reverse Proxy
Posted by Max Dittrich <ma...@t-online.de>.
Hallo,
Patrick Holz schrieb:
> wir sind vor kurzem auf den Apache 2.2 umgestiegen (von 2.0) und haben
> das folgende Problem:
>
> Wir betreiben einen Reverse Proxy, der Anfragen auf einen
> dahinterliegenden "normalen" Webserver weiterleitet. Dank mod_rpaf
> konnten wir dabei stets die Client-IP abfragen, sei es in den Logfiles
> oder zur IP-basierten Zugriffsbeschränkung. Seit dem Umstieg auf Apache
> 2.2 wird zwar die Client-IP immer noch in die Logfiles geschrieben und
> taucht auch bei Abfragen der Umgebungsvariablen als "Remote_Addr" und
> "HTTP_X_Forwarded_For" auf, die Zugriffsbeschränkung akzeptiert jedoch
> lediglich die IP des Proxies und funktioniert somit nicht mehr.
ich habe mod_rpaf vor Kurzem für mich entedeckt und setze es im
Zusammenhang mit einer SSL-Proxy Konfiguration auf einer einzelnen
Instanz ein.
Deine Fehlerbeschreibung hat mich hellhörig gemacht, konnte sie aber
nicht nachvollziehen - sprich ein allow/deny funktioniert bei mir wie
erwartet (auch in dieser verkürzten IP-Schreibweise).
Ich verwende mod_rpaf in der Version 0.5. Meine Apache-Installation
basiert zwar auf den Sourcen kurz vor dem 2.2.7-Tag, aber da
mod_authz_host offensichtlich seit längerer Zeit nicht verändert wurde,
sollte das keinen Einfluss haben.
Vielleicht spielt IPv6 da rein? Bei mir ist alles noch IPv4-basiert.
Grüsse,
.max
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------