リバースプロキシ経由のアクセス元IPを書き換える

httpd

Reverse Proxy の裏側にウェブサーバをたてると、クライアントからのアクセスがあったときの REMOTE_ADDR が Reverse Proxy のアドレスになってしまうので、アクセスログをそのままログ分析することができないという状況になります。Proxy に変な手を入れていない限り、Proxy からのリクエストにはオリジナルのアクセス元を表す X-Forwarded-Fo r ヘッダがついてるので、REMOTE_ADDR の代わりに X-Forwarded-Fo r ヘッダの内容をログに記録してやればよいことになります。

┌─────┐        ┌────┐            ┌───────┐
│ Client   ├--------┤ Proxy  ├------------┤ HTTP Server  │
│ X.X.X.X  │ 　     │ Y.Y.Y.Y│            │              │
└─────┘        └────┘            └───────┘
               REMOTE_ADDR -> X.X.X.X    REMOTE_ADDR          -> Y.Y.Y.Y
                                         HTTP_X_FORWARDED_FOR -> X.X.X.X

具体的なやり方は２つあって、１つはログの出力を変えてしまう方法、もう一つはApacheに専用のモジュールを入れる方法です。

† ログの出力を変更する方法

単にログの表記上の問題であれば、最初の方法が一番簡単でデフォルトのログのフォーマット(おそらくcombined)の%hを%{X-Forwarded-For}iに書き換えるだけで対応可能です。このあたりは以前にクライアント証明書のDNをログに残すところでつかったのと同じ方法です。

/etc/httpd/conf/httpd.conf の該当部分を書き換え

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

↓

LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

† mod_extract_forwardedを導入する方法

上記の方法は、REMOTE_ADDRを使ってアクセス制御していたり、呼び出されるプログラムでREMOTE_ADDRを使っていたりするとその部分がうまく動かないという問題が起こります。プログラムをHTTP_X_FORWARDED_FORに対応させるというのもアリですが、通常はREMOTE_ADDRを書き換えてくれるモジュールを入れた方が対応が楽だろうと思います。今回はmod_extract_forwarded^*1というモジュールを使ってみました。EPELが使えるようになっていれば、yumで一撃でインストールできました。