{{howhard>3}}
<color #22b14c>**Obtenir les IPs de connexion derrière HAProxy**</color> \\
HAProxy redirigeant les requêtes vers le serveur web, ce dernier les voit toujours provenir de HAProxy. Cela nuit à l'utilisation de fail2ban ou d'AWStats qui nécessitent de connaître l'IP externe de provenance de la requête. \\
Pour ce faire, il y a 2 réglages à effectuer:
  * un sur HAProxy
  * l'autre sur le serveur web apache

====== HAProxy ======
tout est indiqué sur ce lien https://www.triumvirat.org/posts/opnsense/opnsense_x-forward/

''Services'' => ''HAProxy'' => ''Settings'' => ''Virtual Services'' => ''Backend Pools'' => la-bonne_pool => ''advanced mode'' \\
Dans ''Option pass-through'' entrer "option forwardfor" (sans les "").

<note important>Ne plus utiliser "%{X-Forwarded-For}i" dans le config du serveur web \\
Utiliser plutôt le module ''remoteip'' comme indiqué ci-ddessous</note>
====== Apache ======
https://www.yakati.com/art/afficher-les-ip-de-connexion-dans-les-logs-apache-derrriere-haproxy.html \\
<code># a2enmod remoteip
# echo "RemoteIPHeader X-Forwarded-For" > /etc/apache2/conf-available/haproxyIP.conf
# a2enconf haproxyIP
# nano /etc/apache2/apache2.conf<       ### et remplacer les "%h" par "%a" </code>

<code>#LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
LogFormat "%v:%p %a %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
#LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%a %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
#LogFormat "%h %l %u %t \"%r\" %>s %O" common
LogFormat "%a %l %u %t \"%r\" %>s %O" common </code>
<code># systemctl restart apache2 </code>

Installé sur un CT turnkey, les logs de Apache devraient alors indiquer les IPs de connexion externes <code># nano /var/log/apache2/other_vhosts_access.log </code>
<note>Les logs des connexions depuis le LAN ou la DMZ undiquent toujours l'IP du HAProxy</note>