Wiki-GuedeL

Outils pour utilisateurs

Outils du site

Piste:
welcome:opnsense:haproxy_et_ips_de_connexion

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
welcome:opnsense:haproxy_et_ips_de_connexion [2021/12/05 11:41]
arnaud 		welcome:opnsense:haproxy_et_ips_de_connexion [2021/12/14 19:58] (Version actuelle)
arnaud [HAProxy]
Ligne 3: Ligne 3:
 HAProxy redirigeant les requêtes vers le serveur web, ce dernier les voit toujours provenir de HAProxy. Cela nuit à l'utilisation de fail2ban ou d'AWStats qui nécessitent de connaître l'IP externe de provenance de la requête. \\ HAProxy redirigeant les requêtes vers le serveur web, ce dernier les voit toujours provenir de HAProxy. Cela nuit à l'utilisation de fail2ban ou d'AWStats qui nécessitent de connaître l'IP externe de provenance de la requête. \\
 Pour ce faire, il y a 2 réglages à effectuer: Pour ce faire, il y a 2 réglages à effectuer:
-  * un sur HAProxy (https://www.triumvirat.org/posts/opnsense/opnsense_x-forward/) +  * un sur HAProxy 
-  * l'autre sur le serveur web apache https://www.yakati.com/art/afficher-les-ip-de-connexion-dans-les-logs-apache-derrriere-haproxy.html+  * l'autre sur le serveur web apache
  
 +====== HAProxy ======
 +tout est indiqué sur ce lien https://www.triumvirat.org/posts/opnsense/opnsense_x-forward/
  
 +''Services'' => ''HAProxy'' => ''Settings'' => ''Virtual Services'' => ''Backend Pools'' => la-bonne_pool => ''advanced mode'' \\
 +Dans ''Option pass-through'' entrer "option forwardfor" (sans les "").
  
 +<note important>Ne plus utiliser "%{X-Forwarded-For}i" dans le config du serveur web \\
 +Utiliser plutôt le module ''remoteip'' comme indiqué ci-ddessous</note>
 +====== Apache ======
 +https://www.yakati.com/art/afficher-les-ip-de-connexion-dans-les-logs-apache-derrriere-haproxy.html \\
 +<code># a2enmod remoteip
 +# echo "RemoteIPHeader X-Forwarded-For" > /etc/apache2/conf-available/haproxyIP.conf
 +# a2enconf haproxyIP
 +# nano /etc/apache2/apache2.conf<       ### et remplacer les "%h" par "%a" </code>
 +
 +<code>#LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
 +LogFormat "%v:%p %a %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
 +#LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
 +LogFormat "%a %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
 +#LogFormat "%h %l %u %t \"%r\" %>s %O" common
 +LogFormat "%a %l %u %t \"%r\" %>s %O" common </code>
 +<code># systemctl restart apache2 </code>
 +
 +Installé sur un CT turnkey, les logs de Apache devraient alors indiquer les IPs de connexion externes <code># nano /var/log/apache2/other_vhosts_access.log </code>
 +<note>Les logs des connexions depuis le LAN ou la DMZ undiquent toujours l'IP du HAProxy</note>
welcome/opnsense/haproxy_et_ips_de_connexion.1638704511.txt.gz · Dernière modification: 2021/12/05 11:41 de arnaud

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki
DokuWiki Appliance - Powered by TurnKey Linux