LINUX.ORG.RU
решено ФорумAdmin

Apache 2.4 + nginx + remoteip

 , ,


0

2

Пытаюсь настроить чтобы отображался реальный адрес в логах и в переменной $_SERVER['REMOTE_ADDR'];

root@vesta4:/home/nommaner# cat /etc/apache2/mods-available/remoteip.conf
<IfModule remoteip_module>
RemoteIPHeader X-Forwarded-For
RemoteIPTrustedProxy 127.0.0.1 217.20.83.18
RemoteIPInternalProxy 127.0.0.1 217.20.83.18
</IfModule>

Пока что не работает.

Сервер расположен за фаерволом. Поэтому локальный адрес 192.168.2.11, а адрес по которому сервер доступен из интернет 217.20.83.18.

Еще у меня nginx, я прошу помочь, сам что то запутался совсем.



Последнее исправление: Shulman (всего исправлений: 4)

Ответ на: комментарий от Deleted

Я думаю что у меня не верная конфигурация remoteip.conf. Или все правильно?

Я просто находил мануалы как самые простые, так и сложные... но по прежнему в переменной виден локальный адрес сервера.

Shulman
() автор топика
Ответ на: комментарий от Shulman

О, впервые меня скастили.

/etc/apache2/mods-available/remoteip.conf

На всякий случай, в mods-enabled(или ещё где-нибудь) симлинк есть на это же?

alestro
()
Ответ на: комментарий от Deleted

Есть joomla.

Надо чтобы можно было, я точно не знаю, ну допустим банить по ip, то есть знать адрес клиента.

Так написать? 

root@vesta4:/home/nommaner# cat /etc/apache2/mods-available/remoteip.conf
<IfModule remoteip_module>
RemoteIPHeader X-Forwarded-For
RemoteIPTrustedProxy 127.0.0.1 192.168.2.11
RemoteIPInternalProxy 127.0.0.1 192.168.2.11
</IfModule>

Конфиг nginx

root@vesta4:/home/nommaner# cat /etc/nginx/nginx.conf
# Server globals
user                    www-data;
worker_processes        8;
worker_rlimit_nofile    65535;
error_log               /var/log/nginx/error.log crit;
pid                     /var/run/nginx.pid;


# Worker config
events {
        worker_connections  1024;
        use                 epoll;
        multi_accept        on;
}


http {
    # Main settings
    sendfile                        on;
    tcp_nopush                      on;
    tcp_nodelay                     on;
    client_header_timeout           1m;
    client_body_timeout             1m;
    client_header_buffer_size       2k;
    client_body_buffer_size         256k;
    client_max_body_size            256m;
    large_client_header_buffers     4   8k;
    send_timeout                    300;
    keepalive_timeout               60 60;
    reset_timedout_connection       on;
    server_tokens                   off;
    server_name_in_redirect         off;
    server_names_hash_max_size      512;
    server_names_hash_bucket_size   512;


    # Log format
    log_format  main    '$remote_addr - $remote_user [$time_local] $request '
                        '"$status" $body_bytes_sent "$http_referer" '
                        '"$http_user_agent" "$http_x_forwarded_for"';
    log_format  bytes   '$body_bytes_sent';
    #access_log          /var/log/nginx/access.log main;
    access_log off;


    # Mime settings
    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;


    # Compression
    gzip                on;
    gzip_comp_level     2;
    gzip_min_length     512;
    gzip_buffers        8 64k;
    gzip_types          text/plain text/css text/javascript text/js text/xml app                                                                                                                     lication/json application/javascript application/x-javascript application/xml ap                                                                                                                     plication/xml+rss application/x-font-ttf image/svg+xml font/opentype;
    gzip_proxied        any;
    gzip_disable        "MSIE [1-6]\.";

    # Proxy settings
    proxy_redirect      off;
    proxy_set_header    Host            $host;
    proxy_set_header    X-Real-IP       $remote_addr;
    proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass_header   Set-Cookie;
    proxy_connect_timeout   360;
    proxy_send_timeout  360;
    proxy_read_timeout  360;
    proxy_buffers       32 4k;


    # Cloudflare https://www.cloudflare.com/ips
    #set_real_ip_from   0.0.0.0/32;
    set_real_ip_from   103.21.244.0/22;
    set_real_ip_from   103.22.200.0/22;
    set_real_ip_from   103.31.4.0/22;
    set_real_ip_from   104.16.0.0/12;
    set_real_ip_from   108.162.192.0/18;
    set_real_ip_from   131.0.72.0/22;
    set_real_ip_from   141.101.64.0/18;
    set_real_ip_from   162.158.0.0/15;
    set_real_ip_from   172.64.0.0/13;
    set_real_ip_from   173.245.48.0/20;
    set_real_ip_from   188.114.96.0/20;
    set_real_ip_from   190.93.240.0/20;
    set_real_ip_from   197.234.240.0/22;
    set_real_ip_from   198.41.128.0/17;
    #set_real_ip_from   2400:cb00::/32;
    #set_real_ip_from   2606:4700::/32;
    #set_real_ip_from   2803:f800::/32;
    #set_real_ip_from   2405:b500::/32;
    #set_real_ip_from   2405:8100::/32;
    #set_real_ip_from   2c0f:f248::/32;
    #set_real_ip_from   2a06:98c0::/29;
    real_ip_header     CF-Connecting-IP;


    # SSL PCI Compliance
    ssl_session_cache   shared:SSL:10m;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers        "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:                                                                                                                     DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDH                                                                                                                     E-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA                                                                                                                     256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CB                                                                                                                     C3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AE                                                                                                                     S128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!                                                                                                                     MD5:!PSK:!RC4";


    # Error pages
    error_page          403          /error/403.html;
    error_page          404          /error/404.html;
    error_page          502 503 504  /error/50x.html;


    # Cache settings
    proxy_cache_path /var/cache/nginx levels=2 keys_zone=cache:10m inactive=60m                                                                                                                      max_size=1024m;
    proxy_cache_key "$host$request_uri $cookie_user";
    proxy_temp_path  /var/cache/nginx/temp;
    proxy_ignore_headers Expires Cache-Control;
    proxy_cache_use_stale error timeout invalid_header http_502;
    proxy_cache_valid any 1d;


    # Cache bypass
    map $http_cookie $no_cache {
        default 0;
        ~SESS 1;
        ~wordpress_logged_in 1;
    }


    # File cache settings
    open_file_cache          max=10000 inactive=30s;
    open_file_cache_valid    60s;
    open_file_cache_min_uses 2;
    open_file_cache_errors   off;


    # Wildcard include
    include             /etc/nginx/conf.d/*.conf;
}
Shulman
() автор топика
Ответ на: комментарий от alestro

Включен. Я как то косячную конфигу запихивал, apache вообще не стартовал. Потом конфиг нашел синтаксически верный, но проблема не решилась...

Shulman
() автор топика
Ответ на: комментарий от alestro 
root@vesta4:/home/nommaner# ls /etc/nginx/conf.d/
192.168.2.11.conf  phppgadmin.inc  vesta.conf
phpmyadmin.inc     status.conf     webmail.inc

Скажите, все конфиги нужно или какие-то конкретные?

Shulman
() автор топика

Какой IP клиента сейчас попадает в логи апача? Модуль remoteip_module точно подключается?

MrClon ★★★★★
()

В RemoteIPTrustedProxy и RemoteIPInternalProxy вроде как нельзя несколько значений указывать (во всяком случае я так документацию распарсил). Так-что попробуй вместо

RemoteIPTrustedProxy 127.0.0.1 217.20.83.18

написать

RemoteIPTrustedProxy 127.0.0.1
RemoteIPTrustedProxy 217.20.83.18

и с RemoteIPInternalProxy аналогично (хотя вообще должно хватать одного RemoteIPInternalProxy). Наверное. Апача под рукой нет.

Хотя если у тебя на такой конфиг апач не ругается то либо это валидный синтаксис, либо модуль remoteip_module не подключен и этот блок не обрабатывается

MrClon ★★★★★
()
Ответ на: комментарий от MrClon 
root@vesta4:/home/nommaner# a2enmod remoteip
Module remoteip already enabled
root@vesta4:/home/nommaner# cat /etc/apache2/mods-available/remoteip.conf
<IfModule remoteip_module>
RemoteIPHeader X-Forwarded-For
#RemoteIPTrustedProxy 127.0.0.1
#RemoteIPInternalProxy 127.0.0.1
RemoteIPTrustedProxy 127.0.0.1
RemoteIPTrustedProxy 217.20.83.18
</IfModule>

По прежнему не работает. Apache перезапустил. Сейчас еще developers попрошу проверить.

Shulman
() автор топика
Ответ на: комментарий от Shulman

Так какого фига у тебя в качестве RemoteIPInternalProxy указаны 127.0.0.1 и 217.20.83.18, если пакеты от nginx апачу приходят с source ip 192.168.2.11

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

Поправил, через часик проверят developers.

Shulman
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin