Apache mod rpaf

Das Apache Modul mod_rpaf schafft Abhilfe wenn ein Reverse Proxy/Web Beschleuniger wie Varnish oder Squid zum Einsatz kommen und dadurch die falsche Client IP Adresse in den Apache Logs aufscheint. Da der Reverse Proxy in der Regel vor den Apache Webserver geschalten wird, scheinen ohne diesem Modul alle Zugriffe mit der IP des Proxyservers auf. Dies ist vorallem auch für IP-basierte HTTP Authentisierungen (z.B. "Allow from 192.168.1.1") ein Problem, da diese dann nicht mehr korrekt funktionieren.

Der Reverse Proxy setzt in der Regel den Header "X-Forwarded-For" mit der IP Adresse des tatsächlichen Clients. Das Modul mod_rpaf übernimmt die IP des Headers und setzt diese als tatsächliche Client IP für den Apache Request. Überprüft wird dabei, ob der Apache Request auch tatsächlich von der IP des Proxies kommt.

Dadurch funktioniert einerseits die IP-basierte HTTP Authentication, anderseits enthalten die Apache Logs wieder die richtigen IP Adressen. Man sollte sich jedoch bewusst sein, dass die Apache Logs nur mehr einen kleinen Teil aller Zugriffe enthalten. Die meisten Zugriffe werden in der Regel ja durch den Reverse Proxy/HTTP Accelerator abgefangen.

Unter Debian/Ubuntu kann das Modul wie folgt installiert werden:

apt-get install libapache2-mod-rpaf

In /etc/apache2/mods-enabled/rpaf.conf ist dann eine Default Konfiguration aktiviert, welche das Modul aktiviert und die Proxy IP mit 127.0.0.1 (localhost) festlegt.

Diese Default Konfiguration kann auskommentiert werden, dann kann die Aktivierung explizit pro VirtualHost erfolgen.

Hier eine Beispiel Konfiguration:

RPAFenable On
RPAFsethostname Off
RPAFproxy_ips 127.0.0.1

Die Webseite des Projekts lautet: http://stderr.net/apache/rpaf/

• Thomas Krenn steht für Server Made in Germany.
  Wir assemblieren und liefern europaweit innerhalb von 24 Stunden.
  Unter www.thomas-krenn.com können Sie Ihre Server individuell konfigurieren.