带有HAProxy的远程IP

我正在测试一个新的Web服务器设置，它有几个问题。本质上，我们有一个Web服务器，其中的代码使用远程IP进行一些有趣的事情，还有一些apache目录，这些目录被保护到某些IP（我们的办公室等）。

但是，我们只是在ha_proxy后面添加了这个名称，所以我们可以考虑添加更多的应用服务器，但是现在远程IP总是作为代理ip而不是真正的远程用户通过。这意味着我们无法到达某些位置，并且我们的应用在用户IP重要的地方表现得有些奇怪。

我们的配置如下：

global
      maxconn 4096
      pidfile /var/run/haproxy.pid
      daemon

defaults
      mode http
      retries 3
      option redispatch
      maxconn 2000
      contimeout 5000
      clitimeout 50000
      srvtimeout 50000

listen farm xxx.xxx.xxx.xxx:80
      mode http
      cookie GALAXY insert
      balance roundrobin
      option httpclose
      option forwardfor
      stats enable
      stats auth username:userpass

      server app1 xxx.xxx.xxx.xxx:80 maxconn 1 check

引自HAProxy文档haproxy.1wt.eu。

-如果应用程序需要记录原始客户端的IP，请使用
  “ forwardfor”选项，该选项将添加带有“ X-Forwarded-For”标题的
  原始客户端的IP地址。您还必须使用“ httpclose”来确保
  您将重写每个请求，而不仅仅是每个请求的第一个
  会议：
        选项httpclose
        期权前转

声明应用程序必须处理X-Forwarded-For HTTP标头才能知道客户端IP地址。似乎是您要解决的唯一方法。

为HAProxy 1.4更新

Haproxy 1.4引入了一种带有“ option http-server-close”选项的新模式。它仍然关闭了与服务器的连接，但在可能的情况下仍保持对客户端的保持活动状态并使用。在大多数设置中，您可能希望使用它，因为它有助于减少连接的单个高延迟部分（在Haproxy和客户端之间）的延迟。

   option http-server-close
   option forwardfor

有一种方法可以重新编译HAproxy以包括Tproxy，这将允许转发源地址。

这里有一篇关于它的博客文章：http : //blog.loadbalancer.org/configure-haproxy-with-tproxy-kernel-for-full-transparent-proxy/

一些注意事项：

最新的Linux内核（2.6.28-11-server）包括对TProxy的支持，因此不需要重新编译内核。

确保使用默认网关地址（指向HAProxy服务器）配置Web服务器场中的服务器。

使用rpaf apache模块http://stderr.net/apache/rpaf/ 我知道这是老文章，但是花了我几天时间才找到它。这将向任何应用程序提供x-forward ip。

请注意，您似乎可以覆盖更改Apache标头后应用程序看到的内容：

SetEnvIf X-Forwarded-For (.*) REMOTE_ADDR=$1
SetEnvIf X-Forwarded-For (.*) REMOTE_IP=$1

但是，这不适用于通过“ Allow from”等进行的Apache访问。

根据设计，HAProxy无法将原始IP地址转发到真实服务器，几乎就像其他任何代理一样。

如果您唯一的问题是与Web服务器有关，则一种解决方案可能是调查X-forwarded-for HTTP标头，该标头应包含客户端的地址。现在，这几乎是特定于应用程序/语言的，但是看看php中的这个示例：

$headers = apache_request_headers();

$real_client_ip = $headers["X-Forwarded-For"];

如果您还想记录原始地址，则可以修改httpd.conf中的LogFormat如下所示：

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{X-Forwarded-For}i\"" common

好吧，似乎X-Forwarded-for不适用于您的设置。那么，您是否有任何特殊理由要坚持使用haproxy？IPVS似乎更适合您的需求（我实际上使用了ldirector，而后者又使用了ipvs）。

看一眼：

http://kb.linuxvirtualserver.org/wiki/IPVS

和

http://www.vergenet.net/linux/ldirectord/

在“ IP隧道”或“直接路由”模式下使用IPVS会保留客户端的地址。

尝试从http://www.openinfo.co.uk/apache/获得 mod_extract_forwarded

LoadModule extract_forwarded_module modules/mod_extract_forwarded.so
MEFOrder refuse,accept
MEFRefuse all
MEFAccept xxx.xxx.xxx.xxx

在tcp和nginx模式下使用haproxy的简单方法：

添加send-proxy作为服务器选项：

haproxy.conf：

。

。

听ssl 0.0.0.0:443

模式tcp

平衡最小二乘

选项httpchk GET / ping

选项日志运行状况检查

服务器w1 192.168.1.1:443 send-proxy check check-ssl验证无

服务器W2 192.168.1.1:443 send-proxy check check-ssl验证无

。

。

Nginx需要支持代理协议

nginx.conf：

。

。

听192.168.1.1:443 ssl proxy_protocol;

。

。

set_real_ip_from 192.168.1.0/24;

real_ip_header proxy_protocol;

。

。