From tadashi.1027 @ gmail.com Thu Nov 19 15:13:39 2009 From: tadashi.1027 @ gmail.com (=?ISO-2022-JP?B?GyRCMHAzQBsoQg==?=) Date: Thu, 19 Nov 2009 15:13:39 +0900 Subject: [Ultramonkey-l7-users 238] =?iso-2022-jp?b?V2ViGyRCJTUhPCVQJE4lIiUvJTslOSVtJTAkSyUvJWkbKEI=?= =?iso-2022-jp?b?GyRCJSQlIiVzJUglPSE8JTkbKEJJUBskQiRyNS1PPyQ3JD8kJBsoQg==?= In-Reply-To: References: Message-ID: <4B04E213.1000208@gmail.com> お世話になります。 稲垣と申します。 掲題の件で質問させてください。 WebのアクセスログにクライアントソースIPを記録したいのですが、 現状Ultra Monkey L7のIPアドレスが記録されてしまいます。 現在/etc/ha.d/conf/l7directord.cfのVirtualServiceの定義でmodule箇所にオ プションで-Fを追加しております。 これでX-Forwarded-ForヘッダにクライアントのソースIPが挿入されると思って おります。 添付資料を参照ください。 Ultra Monkey L7のIPアドレスは全部で3つ割り当てております。 WAN側 192.168.10.254 LAN側 192.168.11.254 VirtualServer用 192.168.11.100(IPエイリアシング) 実際にクライアントからViurtualServer宛にアクセスすると 各WebサーバにはクライアントソースIPではなく、Ultra Monkey L7のアドレス (192.168.11.100)が記録されてしまいます。 何か本構成(ネットワーク)に問題点等ありますか? 以上、ご確認の程宜しくお願いいたします。 -------------- next part -------------- テキスト形式以外の添付ファイルを保管しました... ファイル名: アクセスログにソースIPを記録する.ppt 型: application/vnd.ms-powerpoint サイズ: 57344 バイト 説明: 無し URL: http://lists.sourceforge.jp/mailman/archives/ultramonkey-l7-users/attachments/20091119/32a5d203/attachment.ppt From tadashi.1027 @ gmail.com Thu Nov 19 15:29:33 2009 From: tadashi.1027 @ gmail.com (=?ISO-2022-JP?B?GyRCMHAzQBsoQg==?=) Date: Thu, 19 Nov 2009 15:29:33 +0900 Subject: [Ultramonkey-l7-users 239] Re: =?iso-2022-jp?b?V2ViGyRCJTUhPCVQJE4lIiUvJTslOSVtJTAkSyUvGyhC?= =?iso-2022-jp?b?GyRCJWklJCUiJXMlSCU9ITwlORsoQklQGyRCJHI1LU8/JDckPyQkGyhC?= In-Reply-To: <4B04E213.1000208@gmail.com> References: <4B04E213.1000208@gmail.com> Message-ID: <4B04E5CD.4050508@gmail.com> お世話になります。 稲垣です。 自己レスになってすみません。 下記手順でWebのアクセスログにはクライアントのグローバルIPが記録されました。 問題はSSLProxyを立てていたのでSSLProxyのIPアドレスが記録されていたようです。 お騒がせいたしました。 稲垣 さんは書きました: > お世話になります。 > 稲垣と申します。 > > 掲題の件で質問させてください。 > WebのアクセスログにクライアントソースIPを記録したいのですが、 > 現状Ultra Monkey L7のIPアドレスが記録されてしまいます。 > > 現在/etc/ha.d/conf/l7directord.cfのVirtualServiceの定義でmodule箇所にオ > プションで-Fを追加しております。 > これでX-Forwarded-ForヘッダにクライアントのソースIPが挿入されると思って > おります。 > > 添付資料を参照ください。 > Ultra Monkey L7のIPアドレスは全部で3つ割り当てております。 > WAN側 192.168.10.254 > LAN側 192.168.11.254 > VirtualServer用 192.168.11.100(IPエイリアシング) > > 実際にクライアントからViurtualServer宛にアクセスすると > 各WebサーバにはクライアントソースIPではなく、Ultra Monkey L7のアドレス > (192.168.11.100)が記録されてしまいます。 > > 何か本構成(ネットワーク)に問題点等ありますか? > > 以上、ご確認の程宜しくお願いいたします。 > From tateishi.katsuyuki @ oss.ntt.co.jp Thu Nov 19 16:28:42 2009 From: tateishi.katsuyuki @ oss.ntt.co.jp (TATEISHI Katsuyuki) Date: Thu, 19 Nov 2009 16:28:42 +0900 (JST) Subject: [Ultramonkey-l7-users 240] Re: =?iso-2022-jp?b?V2ViGyRCJTUhPCVQJE4lIiUvJTslOSVtJTAkSyUvGyhC?= =?iso-2022-jp?b?GyRCJWklJCUiJXMlSCU9ITwlORsoQklQGyRCJHI1LU8/JDckPyQkGyhC?= In-Reply-To: <4B04E5CD.4050508@gmail.com> References: <4B04E213.1000208@gmail.com> <4B04E5CD.4050508@gmail.com> Message-ID: <20091119.162842.673081661456645808.tateishi.katsuyuki@oss.ntt.co.jp> 稲垣さま、 立石と申します。 稲垣 -san wrote: > 自己レスになってすみません。 > 下記手順でWebのアクセスログにはクライアントのグローバルIPが記録されました。 > > 問題はSSLProxyを立てていたのでSSLProxyのIPアドレスが記録されていたようです。 > お騒がせいたしました。 SSLProxy にも X-Forwarded-For を付加することができる機能(設定 ファイル内のhttp_request_headerで設定します)が 1.0.2-0 から追 加されているのですが、まともに動かないことが分かっていますの で、ご注意ください。(稲垣さんが今回動作を確認された UltraMonkey-L7 の X-Forwarded-For 付加機能はまともに動いてい ます) 具体的にはクライアントからの POST データを送信するときに、ちょ うどパケットの切れ目が HTTP リクエストっぽい場合に、 X-Forwarded-For を付加してしまうという不具合があり、ユーザの POSTデータが破壊されます。 従って、SSLProxy を使う場合はバックエンドのWebサーバにクライ アントのソースIPアドレスを渡す方法が今のところありません。 来春リリース予定の UltraMonkey-L7 v3 では SSLProxy の機能を吸 収するので SSL を終端する場合でも X-Fowarded-For 付加機能がま ともに動くようになる予定ですが、SSLProxy での修正は未定です。 -- TATEISHI Katsuyuki From tadashi.1027 @ gmail.com Thu Nov 19 16:45:43 2009 From: tadashi.1027 @ gmail.com (=?ISO-2022-JP?B?GyRCMHAzQBsoQg==?=) Date: Thu, 19 Nov 2009 16:45:43 +0900 Subject: [Ultramonkey-l7-users 241] Re: =?iso-2022-jp?b?V2ViGyRCJTUhPCVQJE4lIiUvJTslOSVtJTAkSyUvGyhC?= =?iso-2022-jp?b?GyRCJWklJCUiJXMlSCU9ITwlORsoQklQGyRCJHI1LU8/JDckPyQkGyhC?= In-Reply-To: <20091119.162842.673081661456645808.tateishi.katsuyuki@oss.ntt.co.jp> References: <4B04E213.1000208@gmail.com> <4B04E5CD.4050508@gmail.com> <20091119.162842.673081661456645808.tateishi.katsuyuki@oss.ntt.co.jp> Message-ID: <4B04F7A7.30002@gmail.com> 立石様 お世話になっております。 稲垣です。 そうなんですか。。。 http://sourceforge.jp/projects/ultramonkey-l7/lists/archive/develop/20090821/000495.html 上記の記事を参考に http_request_header = "add:X-Forwarded-For:%{CLIENT_ADDR}" のコメントを解除しSSLProxyを再起動したら、 アクセスログにソースIP記録されていたので安心しておりました。 ただソースIPのすぐ右にロードバランサのIPも付加されていたので、 おかしいなぁとは思いました。 お忙しいところご連絡ありがとうございました。 TATEISHI Katsuyuki さんは書きました: > 稲垣さま、 > 立石と申します。 > > 稲垣 -san wrote: > > >> 自己レスになってすみません。 >> 下記手順でWebのアクセスログにはクライアントのグローバルIPが記録されました。 >> >> 問題はSSLProxyを立てていたのでSSLProxyのIPアドレスが記録されていたようです。 >> お騒がせいたしました。 >> > > SSLProxy にも X-Forwarded-For を付加することができる機能(設定 > ファイル内のhttp_request_headerで設定します)が 1.0.2-0 から追 > 加されているのですが、まともに動かないことが分かっていますの > で、ご注意ください。(稲垣さんが今回動作を確認された > UltraMonkey-L7 の X-Forwarded-For 付加機能はまともに動いてい > ます) > > 具体的にはクライアントからの POST データを送信するときに、ちょ > うどパケットの切れ目が HTTP リクエストっぽい場合に、 > X-Forwarded-For を付加してしまうという不具合があり、ユーザの > POSTデータが破壊されます。 > > 従って、SSLProxy を使う場合はバックエンドのWebサーバにクライ > アントのソースIPアドレスを渡す方法が今のところありません。 > > 来春リリース予定の UltraMonkey-L7 v3 では SSLProxy の機能を吸 > 収するので SSL を終端する場合でも X-Fowarded-For 付加機能がま > ともに動くようになる予定ですが、SSLProxy での修正は未定です。 > > -- > TATEISHI Katsuyuki > > From tateishi.katsuyuki @ oss.ntt.co.jp Thu Nov 19 18:31:08 2009 From: tateishi.katsuyuki @ oss.ntt.co.jp (TATEISHI Katsuyuki) Date: Thu, 19 Nov 2009 18:31:08 +0900 (JST) Subject: [Ultramonkey-l7-users 242] Re: =?iso-2022-jp?b?V2ViGyRCJTUhPCVQJE4lIiUvJTslOSVtJTAkSyUvGyhC?= =?iso-2022-jp?b?GyRCJWklJCUiJXMlSCU9ITwlORsoQklQGyRCJHI1LU8/JDckPyQkGyhC?= In-Reply-To: <4B04F7A7.30002@gmail.com> References: <4B04E5CD.4050508@gmail.com> <20091119.162842.673081661456645808.tateishi.katsuyuki@oss.ntt.co.jp> <4B04F7A7.30002@gmail.com> Message-ID: <20091119.183108.278730673026180550.tateishi.katsuyuki@oss.ntt.co.jp> 稲垣さま、 立石です。お世話になっております。 稲垣 -san wrote: > そうなんですか。。。 > http://sourceforge.jp/projects/ultramonkey-l7/lists/archive/develop/20090821/000495.html > > 上記の記事を参考に > http_request_header = "add:X-Forwarded-For:%{CLIENT_ADDR}" > のコメントを解除しSSLProxyを再起動したら、 > アクセスログにソースIP記録されていたので安心しておりました。 一見動いているのでちょっと質が悪いですよね・・・すみません。 次回のリリースまでには直すなり、設定できないようにするなりの 対処を入れたいと思います。 > ただソースIPのすぐ右にロードバランサのIPも付加されていたので、 > おかしいなぁとは思いました。 これは X-Forwarded-For の仕様(といっても X- というくらいなの で合意のとれたものはないと思うのですが)で、クライアントから Web サーバまでに Proxy的プログラムを複数経由すると、 Client | | (X-Forwarded-For なし) | SSLproxy | | X-Forwarded-For: | UltraMonkey-L7 | | X-Forwarded-For: , | Webサーバ のように、", " で追加していく動作のためと思われます。 (参考) http://en.wikipedia.org/wiki/X-Forwarded-For -- TATEISHI Katsuyuki