Установка Apache модуля mod_rpaf с поддержкой HTTPS на CentOS 6.5

apache2

Модуль Apache mod_rpaf (reverse proxy add forward module) мне потребовалось установить для корректного отображения IP посетителей тех сайтов, которые обслуживаются бэкэндом Apache и принимает запрос от фронтэнда Nginx. Принимая запрос в лог записывается IP адрес локалхоста, на котором запущен Nginx, а должен быть отображен IP посетителя.

В противном случае это негативно скажется на сборе статистики и блокировке IP адресов атакующих наши сайты. Также у нас есть сайты, которые работают и на HTTPS, к сожалению mod_rpaf поставляемый из репозитория CentALT таких возможностей не даёт, да и сам репозиторий скорее мертв чем жив.

Установка

Настройка

  • Проверяем на месте ли модуль:

  • Редактируем или создаем конфиг:

  • Содержание конфига:

  • Разбор опций:

    • LoadModule — загружаем модуль указывая его имя и расположение
    • Rpaf_Enable — включаем модуль
    • Rpaf_ProxyIPs — ip адреса\подсети наших наших фронтегдов и\или vhost с уникальными ip, перечисление через пробел.
    • Rpaf_SetHostName — включаем или отключаем передачу имени хоста
    • Rpaf_SetHTTPS — включаем в окружение HTTPS переменную, значение которой будет содержаться в заголовках X-HTTPS, X-Forwarded-HTTPS. Может работать некорректно с включенным mod_ssl.
    • RPAF_SetPort — включаем порт в заголовки X-Port, X-Forwarded-Port
    • RPAF_ForbidIfNotProxy — включение опции запрещает запросы с IP, которые не перечислены в Rpaf_ProxyIPs.
    • RPAF_Header — используется для задания заголовка, например: RPAF_Header X-Forwarded-For

Проверяем корректность конфига и перезапускаем Apache:

Проверяем что пишется в логи:
И видим, что вместо 127.0.0.1 пишется реальный ip посетителя.

Sky

Об авторе Sky

Прописан в интернет. Характер задорный, добродушный. Интроверт по натуре. Не любит хамов, халявщиков, гопников. Увлекается всякой технической ересью. Подписывайся на новые статьи http://xit.org.ru/rss
Запись опубликована в рубрике *nix, Без рубрики, Твики и настройки веб-сервера. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован.