Apacheへのnginxプロキシ-リモートIPは記録されません
Nginxがウェブサイトを終了し、PHP-FPMを使用してそれらをApacheにプロキシしています。クライアントのIPをApacheログに記録しようとしていますが、これを機能させることができないようです。
nginx構成
server {
listen 80;
server_name www.website.com;
location ^~ /.well-known/acme-challenge/ {
alias /var/www/dehydrated/;
}
location / {
return 301 https://$server_name$request_uri;
}
}
server {
listen 443 ssl http2;
server_name www.website.com;
location / {
proxy_pass http://1.2.3.4:80;
proxy_set_header Host $Host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_read_timeout 600;
proxy_buffer_size 128k;
proxy_buffers 4 256k;
proxy_busy_buffers_size 256k;
client_max_body_size 100M;
}
location ~ /\.ht {
deny all;
}
ssl_certificate_key /etc/nginx/ssl/www.website.com/privkey.pem;
ssl_certificate /etc/nginx/ssl/www.website.com/fullchain.pem;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/ssl/dhparams.pem;
}
Apache構成
<VirtualHost *:80>
ServerName www.website.com
ServerAlias Origin.www.website.com
ServerAdmin [email protected]
DocumentRoot /var/www/www.website.com/trunk
<IfModule mpm_itk_module>
AssignUserId www_arenz www_arenz
</IfModule>
CustomLog /var/www/www.website.com/apachelogs/www.website.com-access.log combined
ErrorLog /var/www/www.website.com/apachelogs/www.website.com-error.log
<FilesMatch "\.php$">
CGIPassAuth on
SetHandler "proxy:fcgi://127.0.0.1:9115/
</FilesMatch>
RemoteIPHeader X-Real-IP
RemoteIPTrustedProxy 2.3.4.5/32
</VirtualHost>
Apacheログには、クライアントのIPアドレスとして常に2.3.4.5が表示されます。これは、nginxのパブリックIPアドレスです。
このソリューションを試すことができます:
RemoteIPHeader X-Forwarded-Forが存在する場合、ApacheはremoteIPをログに記録しません
# Log format config
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" common
SetEnvIf X-Forwarded-For "^.*\..*\..*\..*" forwarded
CustomLog "logs/access_log" common env=forwarded
# Header config
RemoteIPHeader X-Real-IP
RemoteIPHeader X-Client-IP
RemoteIPInternalProxy 192.168.10.10 192.168.10.11
さらに、ログの組み合わせ使用%h。設定%a、mod_remoteipによって記録されたクライアントIPをログに記録するようにApacheに指示します(%a)ホスト名ではなく(%h)
ご参考までに:
https://httpd.Apache.org/docs/2.4/logs.html#accesslog
https://www.techstacks.com/howto/log-client-ip-and-xforwardedfor-ip-in-Apache.html
これがあなたを助けることができることを願っています
RemoteIPディレクティブの代わりにrpafApacheモジュールを使用して、httpd.confで設定することもできます。
<IfModule rpaf_module>
RPAF_Enable On
RPAF_SetHostName On
RPAF_ProxyIPs 2.3.4.5
RPAF_Header X-Forwarded-For
</IfModule>
次に、このような新しいログ形式を追加するだけです
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" forwarded
CustomLog "/var/log/httpd-access.log" forwarded
ここでは、nginxをプロキシ+ Apache + php-fpmとして扱います