Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 19/03/2011, à 19:54

guibsou

adresse Ip du client dans le errorlog d'apache en mode reverse_proxy

Bonjour,

je butte depuis quelques heures sur un problème dans la configuration d'Apache.

j'ai un serveur Apache sur une machine hote d'OpenVZ  ainsi que dans un contener VZ.
j'ai activé le reverse_proxy entre ces deux machines pour avoir un accès direct depuis Internet (sans gestion de NAT)

j'ai bien paramétré mes LogFormat sur l'apache du contener (en ajoutant X-Forwarded-For) pour recuperer l'adresse IP du "vrai"  client , et non celui de la machine hote.

LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined_proxy

Cette propriété est applicable pour le CustomLog et non pour le ErrorLog d'Apache.
en effet,

CustomLog /mon_chemin_de_log.log combined_proxy

marche, mais pas 

ErrorLog /mon_chemin_de_log.log combined_proxy

car Apache nous renvoie un beau 

ErrorLog takes one argument, The filename of the error log

Le probleme, c'est que je suis entrain de mettre un fail2ban sur la machine hote, qui regarde le fichier ErrorLog de la machine Hote ainsi que celui du contener.

Du coup, vous l'aurez compris, c'est pas l'IP du client qui est banni si il force le site du contener, mais ma machine hote sad

Donc, est-il possible d'appliquer la propriété X-Forwarded-For pour les ErrorLog d'Apache ?

En espérant avoir été clair.


Guibsou

Hors ligne

#2 Le 19/03/2011, à 20:26

Calimo

Re : adresse Ip du client dans le errorlog d'apache en mode reverse_proxy

Salut,
Sans vouloir être pessimiste, même si tu y arrives je vois 2 problèmes :
1. si le client ne passe pas par un proxy, il n'y a pas de X-Forwarded-For, donc il n'y aura aucune IP... ;
2. si tu récupères le X-Forwarded-For, iptables ne pourra pas le bloquer car il "verra" le proxy sans savoir que la connexion vient d'ailleurs…

Hors ligne

#3 Le 19/03/2011, à 21:26

guibsou

Re : adresse Ip du client dans le errorlog d'apache en mode reverse_proxy

Salut Calimo,

Merci pour ta réponse rapide.

Je viens de trouver la solution !

il faut activé le mod-rpaf d'Apache et surtout bien lui mentionner à travers la propriété RPAFproxy_ips les adresses IPs du reverse proxy (localhost, IP privé et surtout IP Publique).

voila, si ça peut servir .

Hors ligne

#4 Le 20/03/2011, à 08:51

Calimo

Re : adresse Ip du client dans le errorlog d'apache en mode reverse_proxy

Je connaissais pas, mais ça a l'air très bien.
Reste à trouver l'équivalent pour fail2ban (en fait, iptables).

Hors ligne

Pages : 1