On Fri, 29 Oct 2004, George L. Yermulnik wrote:
Hello!
On Fri, 29 Oct 2004 at 14:41:55 (+0300), Igor Khasilev wrote:
Хочется резать (drop'ать/reset'ить/forward'ить) такие запросы _до_ apache. Фильтровать контекстно пакеты на core router'ах - неоправданно дорого по ресурсам. Поставить до вебсервера "реверсный" сквид чревато потерей реальных src адресов etc.
squid поставит X-Forwarded-For, который потом apache может прописать в лог.
Не только в логах проблема. Реальные src адреса нужны для access-контроля (deny/allow), для шейпинга etc.
С шейпингом - решается в аккселераторе. Доступ на основе src ip тоже решается в аккселераторе (не всегда так удобно и гибко как в apache). Да, совсем не решается, если ни основе src ip влючаются какие-нибудь опции апача или модулей. В крайнем случае - можно силой заставить апач считать что соединение пришло с адреса указанного в X-Forwarded-For, но это стрёмное решение с точки зрения безопасности.
-- George L. Yermulnik [YZ-RIPE] =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Igor Khasilev | PACO Links, igor at paco dot net | =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message