#1 Le 19/03/2011, à 19:54
- guibsou
adresse Ip du client dans le errorlog d'apache en mode reverse_proxy
Bonjour,
je butte depuis quelques heures sur un problème dans la configuration d'Apache.
j'ai un serveur Apache sur une machine hote d'OpenVZ ainsi que dans un contener VZ.
j'ai activé le reverse_proxy entre ces deux machines pour avoir un accès direct depuis Internet (sans gestion de NAT)
j'ai bien paramétré mes LogFormat sur l'apache du contener (en ajoutant X-Forwarded-For) pour recuperer l'adresse IP du "vrai" client , et non celui de la machine hote.
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined_proxy
Cette propriété est applicable pour le CustomLog et non pour le ErrorLog d'Apache.
en effet,
CustomLog /mon_chemin_de_log.log combined_proxy
marche, mais pas
ErrorLog /mon_chemin_de_log.log combined_proxy
car Apache nous renvoie un beau
ErrorLog takes one argument, The filename of the error log
Le probleme, c'est que je suis entrain de mettre un fail2ban sur la machine hote, qui regarde le fichier ErrorLog de la machine Hote ainsi que celui du contener.
Du coup, vous l'aurez compris, c'est pas l'IP du client qui est banni si il force le site du contener, mais ma machine hote
Donc, est-il possible d'appliquer la propriété X-Forwarded-For pour les ErrorLog d'Apache ?
En espérant avoir été clair.
Guibsou
Hors ligne
#2 Le 19/03/2011, à 20:26
- Calimo
Re : adresse Ip du client dans le errorlog d'apache en mode reverse_proxy
Salut,
Sans vouloir être pessimiste, même si tu y arrives je vois 2 problèmes :
1. si le client ne passe pas par un proxy, il n'y a pas de X-Forwarded-For, donc il n'y aura aucune IP... ;
2. si tu récupères le X-Forwarded-For, iptables ne pourra pas le bloquer car il "verra" le proxy sans savoir que la connexion vient d'ailleurs…
Hors ligne
#3 Le 19/03/2011, à 21:26
- guibsou
Re : adresse Ip du client dans le errorlog d'apache en mode reverse_proxy
Salut Calimo,
Merci pour ta réponse rapide.
Je viens de trouver la solution !
il faut activé le mod-rpaf d'Apache et surtout bien lui mentionner à travers la propriété RPAFproxy_ips les adresses IPs du reverse proxy (localhost, IP privé et surtout IP Publique).
voila, si ça peut servir .
Hors ligne
#4 Le 20/03/2011, à 08:51
- Calimo
Re : adresse Ip du client dans le errorlog d'apache en mode reverse_proxy
Je connaissais pas, mais ça a l'air très bien.
Reste à trouver l'équivalent pour fail2ban (en fait, iptables).
Hors ligne