<div>Жаль, что нет возможности смоделировать ситуацию (не хочеться рушить рабочую схему и ставить RPAF), но я себе это представляю так:</div>
<div>На самый фронтендный (первый) nginx приходит клиент, которому, допустим, squid уже задал x-forwarded-for, допустим это <a href="http://11.11.11.11">11.11.11.11</a>. После прохода через первый nginx x-forwarded-for принимает значение
<a href="http://11.11.11.11">11.11.11.11</a>, <a href="http://22.22.22.22">22.22.22.22</a> При условии, что <a href="http://22.22.22.22">22.22.22.22</a> - это squid'а. На втором nginx'е я вообще не пойму, что твориться, но как я понимаю, к апачу опять таки попадает заголово с двумя ip... Его можно посмотреть через простой php скрипт... Кстати сказать, на такой факт apache реагирует очень неоднозначно. Дело в том, что на практике он перестает пусть в директории, в которые стоит ограничение по ip, даже если оба ip из заголовков прописаны в "Allow from ...."
</div>
<div> </div>
<div>Игорь, если я где-то ошибся - исправь меня.<br><br> </div>
<div><span class="gmail_quote">2006/12/27, Denis F. Latypoff <<a href="mailto:latypoff@yandex.ru">latypoff@yandex.ru</a>>:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Hello Дмитрий,<br><br>Wednesday, December 27, 2006, 9:14:21 PM, you wrote:<br><br>> В X-Forwarded-For бывает и 2 ip адреса... какой он берет? Squid допустим
<br>> устанавливает этот заголовок...<br>> Какой он будет брать ip? Первый? Второй? Третий?<br><br>тогда на первом nginx'е<br><br> proxy_set_header X-Forwarded-For $remote_addr;<br><br>на втором<br><br>
set_real_ip_from nginx1_ip;<br> real_ip_header X-Forwarded-For;<br> proxy_set_header X-Forwarded-For $remote_addr;<br><br>на апаче<br> RPAFenable On<br> RPAFproxy_ips nginx2_ip<br> RPAFsethostname On
<br><br>> 27.12.06, Denis F. Latypoff <<a href="mailto:latypoff@yandex.ru">latypoff@yandex.ru</a>> написал(а):<br>>><br>>> Hello Andrey,<br>>><br>>> Tuesday, December 26, 2006, 9:41:56 PM, you wrote:
<br>>><br>>> > -----BEGIN PGP SIGNED MESSAGE-----<br>>> > Hash: SHA1<br>>><br>>> > RaPaMaN wrote:<br>>> >> В сообщении от Tuesday 26 December 2006 14:56 Дмитрий Леоненко<br>
>> >> написал(a):<br>>> >>> Игорь, а если у меня стоят 2 nginx в цепочке, а за ними апач. Как<br>>> >>> мне от первого nginx через второй пробросить ip реального клиента<br>>> >>> апачу?
<br>>> >><br>>> >> Добавлю к ответу Игоря.<br>>> >><br>>> >> А на апаче rpaf + patch, чтобы он парсил заголовок X-Real-IP и все<br>>> > Ответил называется.:) А что в параметре прокси для rpaf пишем? Адрес
<br>>> > локального nginx, или адрес фронтенда? Понятно, что после запуска<br>>> > будет видно, но хотелось бы знать до того.<br>>><br>>><br>>> mod_rpaf понимает X-Forwarded-For, зачем использовать X-Real-IP?
<br>>><br>>> --<br>>> Best regards,<br>>> Denis Latypoff mailto:<a href="mailto:latypoff@yandex.ru">latypoff@yandex.ru</a><br>>><br>>><br>>><br><br><br><br>
--<br>Best regards,<br>Denis Latypoff mailto:<a href="mailto:latypoff@yandex.ru">latypoff@yandex.ru</a><br><br><br></blockquote></div><br>