Apache mod rpaf

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen
Hinweis: Bitte beachten Sie, dass dieser Artikel / diese Kategorie sich entweder auf ältere Software/Hardware Komponenten bezieht oder aus sonstigen Gründen nicht mehr gewartet wird.
Diese Seite wird nicht mehr aktualisiert und ist rein zu Referenzzwecken noch hier im Archiv abrufbar.

Das Apache Modul mod_rpaf schafft Abhilfe wenn ein Reverse Proxy/Web Beschleuniger wie Varnish oder Squid zum Einsatz kommen und dadurch die falsche Client IP Adresse in den Apache Logs aufscheint. Da der Reverse Proxy in der Regel vor den Apache Webserver geschalten wird, scheinen ohne diesem Modul alle Zugriffe mit der IP des Proxyservers auf. Dies ist vorallem auch für IP-basierte HTTP Authentisierungen (z.B. "Allow from 192.168.1.1") ein Problem, da diese dann nicht mehr korrekt funktionieren.

Der Reverse Proxy setzt in der Regel den Header "X-Forwarded-For" mit der IP Adresse des tatsächlichen Clients. Das Modul mod_rpaf übernimmt die IP des Headers und setzt diese als tatsächliche Client IP für den Apache Request. Überprüft wird dabei, ob der Apache Request auch tatsächlich von der IP des Proxies kommt.

Dadurch funktioniert einerseits die IP-basierte HTTP Authentication, anderseits enthalten die Apache Logs wieder die richtigen IP Adressen. Man sollte sich jedoch bewusst sein, dass die Apache Logs nur mehr einen kleinen Teil aller Zugriffe enthalten. Die meisten Zugriffe werden in der Regel ja durch den Reverse Proxy/HTTP Accelerator abgefangen.

Unter Debian/Ubuntu kann das Modul wie folgt installiert werden: 

apt-get install libapache2-mod-rpaf

In /etc/apache2/mods-enabled/rpaf.conf ist dann eine Default Konfiguration aktiviert, welche das Modul aktiviert und die Proxy IP mit 127.0.0.1 (localhost) festlegt.

Diese Default Konfiguration kann auskommentiert werden, dann kann die Aktivierung explizit pro VirtualHost erfolgen.

Hier eine Beispiel Konfiguration: 

RPAFenable On
RPAFsethostname Off
RPAFproxy_ips 127.0.0.1

Die Webseite des Projekts lautet: http://www.stderr.net/apache/rpaf/


Foto Christoph Mitasch.jpg

Autor: Christoph Mitasch

Christoph Mitasch arbeitet in der Abteilung Web Operations & Knowledge Transfer bei Thomas-Krenn. Er ist für die Betreuung und Weiterentwicklung der Webshop Infrastruktur zuständig. Seit einem Studienprojekt zum Thema Hochverfügbarkeit und Daten Replikation unter Linux beschäftigt er sich intensiv mit diesem Themenbereich. Nach einem Praktikum bei IBM Linz schloss er sein Diplomstudium „Computer- und Mediensicherheit“ an der FH Hagenberg ab. Er wohnt in der Nähe von Linz und ist neben der Arbeit ein begeisterter Marathon-Läufer und Jongleur, wo er mehrere Weltrekorde in der Team-Jonglage hält.


Das könnte Sie auch interessieren

BIOS-Version unter Linux mittels dmidecode auslesen
Zum Artikel
HA Cluster mit Linux Container basierend auf Heartbeat, Pacemaker, DRBD und LXC
Zum Artikel
Rdesktop remote Zugriff auf Windows
Zum Artikel