最終更新日: 2014年1月13日
Squid Home / Index

ディレクティブ: follow_x_forwarded_for

以前の名前:
動作条件: --enable-follow-x-forwarded-for
デフォルト値: X-Forwarded-For ヘッダーは無視される
提案された設定:

リクエストを行ったオリジナル基を見つけるための、X-Forwarded-For ヘッダーを有効または無効にする。

リクエストは目的に到達するまでに、いくつかの他のプロキシのチェーンを通過することができます。
X-Forwarded-For ヘッダーには、最も最近のものである右端のアドレスと共に、コンマに分離されたチェーンのIPアドレスリストを含みます。

もし、この設定項目が許可された状態でソースからリクエストが届いたなら、私たちはX-Forwarded-Forヘッダーを調べることでそのリクエストを行ったホストを調べることができます。
X-Forwarded-Fordヘッダーに複数のアドレスが含まれているなら、それが許可されないまでX-Forwarded-Forヘッダーのリストの最初に自分たちのアドレスを追随させます。
follow_x_forwarded_forディレクティブの中で使用されるACLは、IPアドレスとマッチさせる src ACLタイプと DNSの逆引きを行う srcdomain となる。

この処理の最終結果のIPアドレスは、我々の間接クライアントアドレスなどを参照するIPアドレスです。
このアドレスはacl_uses_indirect_client, icap_uses_indirect_client, delay_pool_uses_indirect_client, log_uses_indirect_client,そして tproxy_uses_indirect_client オプションに応じて、ICAP、遅延プール(delay pools)とロギング用のアクセス制御のクライアントアドレスとして扱うことができる。

ここの節では、高速のACLタイプのみサポートします。
詳細はhttp://wiki.squid-cache.org/SquidFaq/SquidAclを参照してください。

セキュリティの考察:

Squidに従うことで、リクエストを行ったソースアドレスについてあらゆるクライアントの X-Forwarded-For ヘッダーに対して誤った情報を使えます。これはクライアントの送信元アドレスによってアクセス制御しているすべてのリモートホストへのバイパスが可能にできる事を意味します。
使用例:
acl localhost src 127.0.0.1
acl my_other_proxy srcdomain .proxy.example.com
follow_x_forwarded_for allow localhost
follow_x_forwarded_for allow my_other_proxy

Topへ戻る

Copyright© 1998-2014 ROBATA.ORG