Пустая переменная $proxy_add_x_forwarded_for, nginx 1.2.3

Question

[kerberos]

Настраиваю nginx/1.2.3 (debian 6.0.5) как реверс-прокси к томкату, конфиг следующий:

upstream tomcat {
    server 127.0.0.1:8080;
}

server {
    listen   *:80; ## listen for ipv4

    sendfile on;
    charset utf-8;

    server_name  test.ru www.test.ru;

    access_log  /var/log/nginx/test.ru.access.log;
    error_log  /var/log/nginx/test.ru.error.log;

    root /var/www/test.ru/htdocs;

    location / {
            proxy_pass http://tomcat;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Real-IP $remote_addr;
    }
}

В jsp-странице вывожу все заголовки и их значения:

......
x-real-ip	92.47.ххх.ххх
connection	close
cache-control	max-age=0
......

Т.е. x-real-ip передается, а X-Forwarded-For — нет. В чем может быть дело?

Answer 1

[kerberos]

В общем, решил проблему, необходимо прописать у томката в server.xml следующее (заработало после добавления атрибута requestAttributesEnabled=«true» в AccessLogValve):

<Host name="localhost"  appBase="webapps"
            unpackWARs="true" autoDeploy="true">
    ...
    <Valve className="org.apache.catalina.valves.RemoteIpValve"
           remoteIpHeader="X-Forwarded-For"
           requestAttributesEnabled="true"
           internalProxies="127.0.0.1"  />

    <Valve className="org.apache.catalina.valves.AccessLogValve"
           directory="logs"
           prefix="localhost_access_log."
           suffix=".log"
           requestAttributesEnabled="true"
           pattern="%h %l %u %t "%r" %s %b" />
    ...
</Host>

Answer 2

[VBart]

Почему вы решили, что переменная пустая и заголовк не передается? Посмотрите тем же tcpdump-ом, скорее всего всё передается, просто tomcat обрабатывает этот заголовок по своему усмотрению.

Comments

[kerberos]

Действительно, Вы правы оказались, посмотрел что приходит с nginx-a:

root@host:/etc/nginx/sites-enabled# netcat -vv -lp 9999
listening on [any] 9999 ...
connect to [127.0.0.1] from localhost [127.0.0.1] 44532
GET / HTTP/1.0
Host: test.xxxx.xx
X-Forwarded-For: 95.56.x.x
X-Real-IP: 95.56.x.x
Connection: close
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110 Safari/537.36
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru,en-US;q=0.8,en;q=0.6

Ладно, буду копать в сторону tomcat.

Answer 3

[script88]

Идем в офф документацию nginx.org/ru/docs/http/ngx_http_proxy_module.html и в самом низу читаем:

$proxy_add_x_forwarded_for

поле заголовка запроса клиента “X-Forwarded-For” и добавленная к нему через запятую переменная $remote_addr. Если же поля “X-Forwarded-For” в заголовке запроса клиента нет, то переменная $proxy_add_x_forwarded_for равна переменной $remote_addr.

Comments

[script88]

и в listen *:80; все таки стоит прописать внешний IP

[kerberos]

В моем понимании

переменная $proxy_add_x_forwarded_for равна переменной $remote_addr

это если $remote_add = xxx.xxx.xxx.xxx, то и $proxy_add_x_forwarded_for должна быть xxx.xxx.xxx.xxx, я неправ?

[script88]

Значит backend не отдает этот ip, а Вы mod_rpaf установили?

Answer 4

[kerberos]

mod_rpaf? При чем тут mod_rpaf (быстрое гугление показывает, что это модуль для apache, у меня же apache tomcat)

Comments

[script88]

ааа… Пардон, еще не проснулся :) Что то, томкэт у меня из головы вылетел когда про rpaf решил спросить.

[script88]

proxy_set_header Host $http_host;