ウェブサーバ側から見た接続元IPアドレスについて
こんにちは。Scutumサポートデスクです。
今回は、Scutum導入後にウェブサーバ側から接続元IPアドレスはどう見えるかなどの観点で、よくお客様より聞かれる「ウェブサーバ側から見た接続元IPアドレス」について紹介します。
Scutum導入後、ウェブサーバ側から確認した接続元IPアドレスはどうなる?
Scutumはリバースプロキシとして動作するため、Scutumの向け先となる後段ウェブサーバから見た接続元IPアドレスはすべてScutumのIPアドレスとなります。
※リバースプロキシとは外部インターネットからサーバーへアクセスされる通信を中継する仕組み
※図のScutumからウェブサーバへの接続元IPアドレスは、Scutumを利用するために必要な情報等を記載している「設定情報」(※サービスをご契約時にご提供するPDF資料です)に記載していますのでご確認ください。
ではウェブサーバ側から、接続元IPアドレスを確認するには?
Scutumを導入後、今までウェブサーバ側から確認できた本来の接続元IPアドレスが確認できなくなってしまうのでは困りますよね。。
回避策としてScutumでは、クライアントのIPアドレスをHTTPリクエストのヘッダ内に持った状態でアクセスし、
保持した情報をデフォルトの状態で[X-Forwarded-For]へ付与する仕様としています。
本仕様を活用いただき、HTTPリクエストヘッダ内の[X-Forwarded-For]を参照する設定に変更してください。参照方法を変更することで、Scutum導入前と同様に接続元IPアドレスをウェブサーバ側で確認することが可能です。
設定方法の詳細は、利用されているサーバやサービスによってそれぞれ異なってきますので、
本内容を参考にそれぞれお客様側でご利用サービスへの適宜確認をお願いします。
Scutumが付与する[X-Forwarded-For]の仕様について
最後に、具体的にScutumが付与する[X-Forwarded-For]の仕様について解説します。
〇すべての構成で付与されるヘッダ情報
【ヘッダー情報】
X-Forwarded-For: yyy.yyy.yyy.yyy(前段サービスIPアドレス)※Scutumで上書き
X-Forwarded-For2: yyy.yyy.yyy.yyy(前段サービスIPアドレス)
X-Client-Port: xxxx(アクセス元ポート番号)
■[X-Forwarded-For] ※必ず付与されます。
常に1つのIPアドレスのみが格納されます。
格納されるIPアドレスは、Scutum環境に対して直接アクセスを行うクライアントやサービスのIPアドレスです。
なお、このヘッダに格納されるIPアドレスをScutumはクライアントのIPアドレスとして判別し、このクライアントのIPアドレスに対して通信を検知・遮断します。
※Scutumの前段にCDNなどサービスが存在する場合には、予めScutum側にCDNからのアクセスであることを認識させる設定が必要です。
本設定後はじめて、予め設定した前段のサービスが付与したクライアントのIPアドレス識別用ヘッダ(X-Forwarded-For等)をクライアントのIPアドレスとして認識し、X-Forwarded-Forに格納する事ができます。
本設定が必要な場合には、別途Scutumサポートデスクまでご相談ください。
(※Amazon CloudFrontなどの一部CDNについては、CDN経由のアクセスであることを自動的に認識する設定が全環境で適用されています。)
■[X-Forwarded-For2] ※必ず付与されます。
常に[X-Forwarded-For]と同じ値を付与します。
そのため、[X-Forwarded-For]と同一のIPアドレス1つのみが格納されます。
本ヘッダは、Scutumの後段に通信の振り分けを行うロードバランサが存在する構成など、Scutumが付与した[X-Forwarded-For]の値が上書きされる可能性を想定して予め付与しているヘッダです。
〇Scutum環境に通信が到達した時点で[X-Forwrded-For]が既に存在している場合に付与されるヘッダ情報
(Scutum前段のサービスが[X-Forwarded-For]を付与している場合など)
【ヘッダー情報】
X-Forwarded-For: yyy.yyy.yyy.yyy(前段サービスIPアドレス)※Scutumで上書き
X-Forwarded-For2: yyy.yyy.yyy.yyy(前段サービスIPアドレス)
X-Forwarded-For-Orig:xxx.xxx.xxx.xxx(アクセス元IPアドレス)※Scutumで新たに付与
X-Client-Port: xxxx(アクセス元ポート番号)
Scutum環境に通信が到達した時点で[X-Forwrded-For]が既に存在している場合のみ、
上図のようにX-Forwarded-For、X-Forwarded-For2とは別途、[X-Forwarded-For-Orig]を新規に付与します。
■[X-Forwarded-For-Orig]
本ヘッダへはScutumに通信が到達した時点で[X-Forwarded-For]に付与されているすべてのIPアドレスを格納します。そのため、このヘッダのみ複数のIPアドレスがカンマ区切りで記載される可能性があります。
X-Forwarded-For に関しては以下サポートサイトにも記載してますので、ご参照ください。
・Scutumお客様サポートサイト (Q.接続元IPアドレスを確認したいのですが?)
ご不明な点等がありましたら、お気軽にScutumサポートデスクまでお問い合わせください。
