Apache 2.4 не видит внешний IP, хотя mod_remoteip настроен. Куда копать?

Question

[Рома]

Коллеги, добрый день.

Подскажите, пожалуйста, в чем может быть дело. Второй день воюю.

Кратко: Есть два одинаковых сервера, на одном апач видит IP клиента, а на другом не видит.

Подробно:
Есть тестовый веб-сервер на openSUSE Leap 15. На нем стоит apache 2.4.33, nginx 1.14.2 и сопутствующее ПО.
В конфиге nginx прописано:

proxy_set_header HTTPS YES;
proxy_set_header Host $host:443;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Server-Address  $server_addr;

В конфиге apache:

<IfModule remoteip_module>
RemoteIPHeader X-Forwarded-For
RemoteIPTrustedProxy 127.0.0.1 10.1.1.10
RemoteIPInternalProxy 127.0.0.1 10.1.1.10
</IfModule>

Модуль remoteip включен:

# apache2ctl -M | grep remote
 remoteip_module (shared)

В apache для VirtualHost (точнее для Directory в VirtualHost) прописано:

Order allow,deny
Allow from 10.1.1.11
Allow from 10.1.1.12
Deny from all

При попытке зайти в эту Directory с указанных IP получаю Access forbidden (403 error). В логах апача соответствующая запись, что заход был с 127.0.0.1 (в LogFormat %h заменил на %a).

Так же есть "боевой" веб-сервер, конфигурация один в один с тестовым, разница только в IP адресах и имени хоста, все остальные настройки идентичны. Так вот на "боевом" все работает - и в логах пишет настоящие IP, и ограничение по IP работает.

В чем может быть дело? Куда копать?

UPD:
В php в "$_SERVER" в переменных X_FORWARDED_* записаны верные значения, IP внешние. Т.е. если я браузером обращаюсь со своего компа к скрипту

<?php
echo '<pre>';
print_r($_SERVER);
echo '</pre>';
exit;
?>

то там все значения переменных X_FORWARDED_* отображаются верно. 127.0.0.1 имеют только переменные SERVER_ADDR и REMOTE_ADDR.
Но на боевом в REMOTE_ADDR указан мой IP, т.е. 10.1.1.1. И еще на боевом нет X_FORWARDED_FOR.

Answer 1

[pPaulp]

Измените порядок директив в apache, сначала RemoteIPInternalProxy, после RemoteIPTrustedProxy:

<IfModule remoteip_module>
RemoteIPHeader X-Forwarded-For
RemoteIPInternalProxy 127.0.0.1 10.1.1.10
RemoteIPTrustedProxy 127.0.0.1 10.1.1.10
</IfModule>

Comments

[N1ghTHawk]

Однако, у меня это сработало! Хотя в другом месте работает наоборот. В чём прикол?

[AndronTry]

Подтверждаю! Это странно, но только этот совет помог!

[Александр Семененко]

Спасибо, тоже помогли.

[Рома]

pPaulp , мега респект!!!!!!!! Джва года назад я так и не увидел подвоха... Сегодня снова столкнулся с этой же проблемой. Вспомнил свой вопрос, перечитал и увидел то, чего не увидел раньше, а именно

Измените порядок директив в apache, сначала RemoteIPInternalProxy, после RemoteIPTrustedProxy:

Блин, респектище, коллега!!!!

Answer 2

[skul]

RemoteIPTrustedProxy определяет(подставляет в remote_addr) все адреса, кроме 10/8, 172.16/12, 192.168/16, 169.254/16 and 127/8 blocks.
RemoteIPInternalProxy определяет все адреса.

Т.е. вам надо удалить RemoteIPTrustedProxy, и оставить только RemoteIPInternalProxy.

https://httpd.apache.org/docs/2.4/mod/mod_remoteip...

Comments

[Рома]

Спасибо!
Да, уже знаю об этом. 4 года назад не увидел / не понял разницу.

Answer 3

[Вячеслав Рахинский]

RemoteIPHeader X-Forwarded-For не должен быть случаем X-Real-IP?

RemoteIPHeader Directive / Declare the header field which should be parsed for useragent IP addresses

Comments

[Рома]

Я пробовал и "RemoteIPHeader X-Forwarded-For" и "RemoteIPHeader X-Real-IP". Ничего не меняется.
На боевом сервере именно "X-Forwarded-For" стоит и все работает.
В php в "$_SERVER" они имеют одинаковый IP адрес (правильный). Т.е. если я браузером загружаю со своего компа скрипт

<?php
echo '<pre>';
print_r($_SERVER);
echo '</pre>';
exit;
?>

то там все значения переменных X_FORWARDED_* отображаются верно. 127.0.0.1 имеют только переменные SERVER_ADDR и REMOTE_ADDR.
Но на боевом в REMOTE_ADDR указан мой IP, т.е. 10.1.1.1. И еще на боевом нет X_FORWARDED_FOR.

[Вячеслав Рахинский]

Возможно сам Nginx отдает не правильно
Добавте в логи Nginx $remote_addr

[Рома]

Вячеслав Рахинский, в access логах nginx правильные адреса. А в логах apache 127.0.0.1.
У nginx log_format такой:

log_format  common  '$remote_addr - - [$time_local] "$request" $status $bytes_sent "$http_referer" "$http_user_agent" $msec';

А у apache LogFormat такой:

LogFormat "%a %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\""

[Вячеслав Рахинский]

Тогда возможно данный хедер где то в конфиге апача еще раз переопределяется
Надо смотреть весь конфиг

[Рома]

Вячеслав Рахинский, тогда бы на боевом было то же самое.
Я целиком скопировал всю папку с конфигом апача (и nginx) та тестовый (предварительно удалив все на тестовом), а потом поменял только доменное имя (боевой www.server.ru, тестовый test.server.ru). Больше ничего с конфигами не делал.
Так же делал grep по всем каталогам апача по словам "RemoteIPHeader", "X-Forwarded-For", "RemoteIPTrustedProxy", "RemoteIPInternalProxy" и "127.0.0.1". Они упоминаются только в файле /etc/apache2/conf.d/remote_ip.conf, который инклюдится (IncludeOptional /etc/apache2/conf.d/*.conf) в /etc/apache2/default-server.conf, а этот в свою очередь в /etc/apache2/httpd.conf (Include /etc/apache2/default-server.conf).
На боевом все то же самое (сейчас перепроверил).

[Рома]

Вячеслав Рахинский,
PS: Прежде, чем я сделал этот текущий боевой сервер, я сделал 12-16 (уже не помню) штук тестовых, пока тестировал кучу нововведений, обновления шаблонов и темы сайта. Тестовики разворачивались из шаблонов (все на ВМ). Потом развернул из шаблона боевой, накатил на него все конфиги и данные для сайта, потом вывел в продакшен в ЦОД.
Теперь делаю внутренний сервер, который будет синхронизироваться с боевым, чтобы потом с этого внутреннего делать клоны под тестовые ВМ и отдавать на "растерзание" разработчикам + тестировать обновления. Этот тестовик так же был развернут из шаблона, на него были скопированы конфиги с боевого и внесены правки (изменялись только IP и hostname). Потом были загружены файл и БД с боевого. Сейчас он полностью функционирует, за исключением описанной проблемы.