Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
RemoteIPProxyProtocol nur fuer eine IP-Adresse verlangen
20 views
Skip to first unread message
Marc Haber
May 6, 2020, 2:20:23 PM5/6/20
to
Hallo,
nachdem Ihr mir letztes Mal so toll geholfen habt, habe ich die
nächste Challenge für Euch ;-)
Ich habe einen vhost in einem https-only IPv6-Only-Setup. Damit die
Websites auch aus dem IPv4-Internet erreichbar sind, habe ich einen
Dual Homed Host mit sniproxy vornedran, der alle per IPv4 ankommenden
https-Requests abhängig vom SNI-Header IPv6-only Host weiterschiebt.
Aus dem IPv6-Internet ist mein Webserver direkt erreichbar.
sniproxy spricht das haproxy Proxy Protocol, damit der Webserver die
IP-Adresse des eigentlichen Clients bekommt. apaches mod_remoteip
Modul kann das, wenn man es mit RemoteIPProxyProtocol on einschaltet.
Dann allerdings erfordert der Webserver für alle Connections das Proxy
Protocol und nimmt keine Connections mehr von normalen Browsern an.
Zusätzlich gibt es RemoteIPProxyProtocolExceptions, mit denen man
Ausnahmen von dieser Regel eingeben kann. Ich könnte da jetzt das
gesamte IPv6-Internet eingeben, aber dann kann mir doch jeder
beliebige Client per ProxyProtocol eine beliebige Client-Adresse
unterschieben.
Diese Logik ist genau andersrum als der im gleichen Modul
implementierte andere Mechanismus mit RemoteIPInternalProxy, wo man
die IP-Adressen der Proxies hinterlegt und nicht die Adressen von
denen keine Proxies zugreifen.
Kann ich die IP-Adresse bei RemoteIPProxyProtocolExceptions irgendwie
negieren? Mit SetEnvIf kann ich hier wohl nicht arbeiten, da auch
schon RemoteIPProxyProtocol den kompletten Listener inklusive aller
vhosts erwischt.
Ich möchte eigentlich ungerne extra als Ziel für den
sniproxy-Mechanismus extra einen weiteren Listener auf einem anderen
port definieren müssen.
Habt Ihr eine Lösung?
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
nachdem Ihr mir letztes Mal so toll geholfen habt, habe ich die
nächste Challenge für Euch ;-)
Ich habe einen vhost in einem https-only IPv6-Only-Setup. Damit die
Websites auch aus dem IPv4-Internet erreichbar sind, habe ich einen
Dual Homed Host mit sniproxy vornedran, der alle per IPv4 ankommenden
https-Requests abhängig vom SNI-Header IPv6-only Host weiterschiebt.
Aus dem IPv6-Internet ist mein Webserver direkt erreichbar.
sniproxy spricht das haproxy Proxy Protocol, damit der Webserver die
IP-Adresse des eigentlichen Clients bekommt. apaches mod_remoteip
Modul kann das, wenn man es mit RemoteIPProxyProtocol on einschaltet.
Dann allerdings erfordert der Webserver für alle Connections das Proxy
Protocol und nimmt keine Connections mehr von normalen Browsern an.
Zusätzlich gibt es RemoteIPProxyProtocolExceptions, mit denen man
Ausnahmen von dieser Regel eingeben kann. Ich könnte da jetzt das
gesamte IPv6-Internet eingeben, aber dann kann mir doch jeder
beliebige Client per ProxyProtocol eine beliebige Client-Adresse
unterschieben.
Diese Logik ist genau andersrum als der im gleichen Modul
implementierte andere Mechanismus mit RemoteIPInternalProxy, wo man
die IP-Adressen der Proxies hinterlegt und nicht die Adressen von
denen keine Proxies zugreifen.
Kann ich die IP-Adresse bei RemoteIPProxyProtocolExceptions irgendwie
negieren? Mit SetEnvIf kann ich hier wohl nicht arbeiten, da auch
schon RemoteIPProxyProtocol den kompletten Listener inklusive aller
vhosts erwischt.
Ich möchte eigentlich ungerne extra als Ziel für den
sniproxy-Mechanismus extra einen weiteren Listener auf einem anderen
port definieren müssen.
Habt Ihr eine Lösung?
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
0 new messages