nginx real_ip_header e X-Forwarded-For sembra sbagliato

La descrizione di Wikipedia dell'intestazione HTTP X-Forwarded-Forè:

X-Forwarded-For: client1, proxy1, proxy2, ...

La documentazione nginx per la direttiva real_ip_headerrecita, in parte:

Questa direttiva imposta il nome dell'intestazione utilizzata per il trasferimento dell'indirizzo IP sostitutivo.
Nel caso di X-Forwarded-For, questo modulo utilizza l' ultimo ip nell'intestazione X-Forwarded-For per la sostituzione. [Enfasi mia]

Queste due descrizioni sembrano in contrasto tra loro. Nel nostro scenario, l' X-Forwarded-Forintestazione è esattamente come descritta: l'indirizzo IP "reale" del client è la voce più a sinistra. Allo stesso modo, il comportamento di nginx è di usare il valore più giusto - che, ovviamente, è solo uno dei nostri server proxy.

La mia comprensione X-Real-IPè che si suppone che debba essere utilizzato per determinare l' indirizzo IP del client effettivo , non il proxy. Mi sto perdendo qualcosa o è un bug in nginx?

E, a parte questo, qualcuno ha qualche suggerimento su come fare in modo che l' X-Real-IPintestazione visualizzi il valore più a sinistra , come indicato dalla definizione di X-Forwarded-For?

Credo che la chiave per risolvere i guai di X-Forwarded-For quando più IP sono concatenati è l'opzione di configurazione introdotta di recente real_ip_recursive(aggiunta in nginx 1.2.1 e 1.3.0). Dai documenti di riapparizione di nginx :

Se la ricerca ricorsiva è abilitata, un indirizzo client originale che corrisponde a uno degli indirizzi attendibili viene sostituito dall'ultimo indirizzo non attendibile inviato nel campo dell'intestazione della richiesta.

nginx stava afferrando l'ultimo indirizzo IP nella catena per impostazione predefinita perché quello era l'unico che si riteneva attendibile. Ma con il nuovo real_ip_recursiveabilitato e con più set_real_ip_fromopzioni, è possibile definire più proxy attendibili e verrà recuperato l'ultimo IP non attendibile.

Ad esempio, con questa configurazione:

set_real_ip_from 127.0.0.1;
set_real_ip_from 192.168.2.1;
real_ip_header X-Forwarded-For;
real_ip_recursive on;

E un'intestazione X-Forwarded-For che risulta in:

X-Forwarded-For: 123.123.123.123, 192.168.2.1, 127.0.0.1

nginx ora sceglierà 123.123.123.123 come indirizzo IP del client.

Per quanto riguarda il motivo per cui nginx non si limita a scegliere l'indirizzo IP più a sinistra e richiede di definire in modo esplicito i proxy attendibili, è per impedire lo spoofing IP semplice.

Diciamo che il vero indirizzo IP di un client è 123.123.123.123. Diciamo anche che il client non va bene e stanno cercando di falsificare il loro indirizzo IP 11.11.11.11. Inviano una richiesta al server con questa intestazione già in atto:

X-Forwarded-For: 11.11.11.11

Poiché i proxy inversi aggiungono semplicemente IP a questa catena X-Forwarded-For, diciamo che finisce così quando nginx ci arriva:

X-Forwarded-For: 11.11.11.11, 123.123.123.123, 192.168.2.1, 127.0.0.1

Se prendessi semplicemente l'indirizzo più a sinistra, ciò consentirebbe al client di falsificare facilmente il proprio indirizzo IP. Ma con l'esempio sopra nginx config, nginx si fiderà solo degli ultimi due indirizzi come proxy. Ciò significa che nginx sceglierà correttamente 123.123.123.123come indirizzo IP, nonostante quell'IP falsificato sia in realtà il più a sinistra.

L'analisi X-Forwarded-Fordell'intestazione è effettivamente imperfetta nel modulo nginx real_ip.

len = r->headers_in.x_forwarded_for->value.len;
ip = r->headers_in.x_forwarded_for->value.data;

for (p = ip + len - 1; p > ip; p--) {
  if (*p == ' ' || *p == ',') {
    p++;
    len -= p - ip;
    ip = p;
    break;
  }
}

Inizia all'estrema destra della stringa di intestazione e non appena vede uno spazio o una virgola, smette di cercare e inserisce la parte a destra dello spazio o della virgola nella variabile IP. Quindi, tratta l' indirizzo proxy più recente come l' indirizzo client originale .

Non sta giocando bene secondo le specifiche; questo è il pericolo di non averlo spiegato in termini dolorosamente ovvi in ​​un RFC.

A parte: è difficile persino trovare una buona fonte primaria nel formato, che originariamente è stato definito da Squid - uno scavo attraverso la loro documentazione conferma l'ordinamento; l'estrema sinistra è il client originale, l'estrema destra è l'appendice più recente. Sono fortemente tentato di aggiungere una [citazione necessaria] a quella pagina di Wikipedia. Una modifica anonima sembra essere l'autorità di Internet sull'argomento.

Se possibile, puoi fare in modo che i tuoi proxy intermedi smettano di aggiungersi alla fine dell'intestazione, lasciandolo solo con il vero indirizzo client?

X-Real-IP è l'indirizzo IP del client effettivo con cui sta parlando il server (il client "reale" del server), che, nel caso di una connessione proxy, è il server proxy. Ecco perché X-Real-IP conterrà l'ultimo IP nell'intestazione X-Forwarded-For.