nginx real_ip_header y X-Fordered-For parece incorrecto

La descripción de Wikipedia del encabezado HTTP X-Forwarded-Fores:

X-Forward-For: cliente1, proxy1, proxy2, ...

La documentación de nginx para la directiva real_ip_headerlee, en parte:

Esta directiva establece el nombre del encabezado utilizado para transferir la dirección IP de reemplazo.
En el caso de X-Fordered-For, este módulo utiliza la última ip en el encabezado X-Fordered-For para el reemplazo. [El énfasis es mío]

Estas dos descripciones parecen estar en desacuerdo entre sí. En nuestro escenario, el X-Forwarded-Forencabezado es exactamente como se describe: la dirección IP "real" del cliente es la entrada más a la izquierda. Del mismo modo, el comportamiento de nginx es utilizar el valor más adecuado , que, obviamente, es solo uno de nuestros servidores proxy.

Según tengo entendido X-Real-IP, se supone que debe usarse para determinar la dirección IP del cliente real , no el proxy. ¿Me estoy perdiendo algo o es un error en nginx?

Y, más allá de eso, ¿alguien tiene alguna sugerencia sobre cómo hacer que el X-Real-IPencabezado muestre el valor más a la izquierda , como lo indica la definición de X-Forwarded-For?

Creo que la clave para resolver los problemas de X-Fordered-For cuando se encadenan varias IP es la opción de configuración introducida recientemente real_ip_recursive(agregada en nginx 1.2.1 y 1.3.0). De los documentos nginx realip :

Si la búsqueda recursiva está habilitada, una dirección de cliente original que coincide con una de las direcciones confiables se reemplaza por la última dirección no confiable enviada en el campo de encabezado de solicitud.

nginx estaba tomando la última dirección IP en la cadena por defecto porque esa era la única en la que se suponía que era de confianza. Pero con la nueva real_ip_recursivehabilitada y con múltiples set_real_ip_fromopciones, puede definir múltiples proxies confiables y obtendrá la última IP no confiable.

Por ejemplo, con esta configuración:

set_real_ip_from 127.0.0.1;
set_real_ip_from 192.168.2.1;
real_ip_header X-Forwarded-For;
real_ip_recursive on;

Y un encabezado X-Fordered-For que resulta en:

X-Forwarded-For: 123.123.123.123, 192.168.2.1, 127.0.0.1

nginx ahora seleccionará 123.123.123.123 como la dirección IP del cliente.

En cuanto a por qué nginx no solo elige la dirección IP más a la izquierda y requiere que defina explícitamente servidores proxy confiables, es para evitar la suplantación de IP fácil.

Digamos que la dirección IP real de un cliente es 123.123.123.123. Digamos también que el cliente no es bueno, y están tratando de falsificar su dirección IP 11.11.11.11. Envían una solicitud al servidor con este encabezado ya en su lugar:

X-Forwarded-For: 11.11.11.11

Dado que los proxys inversos simplemente agregan IP a esta cadena X-Fordered-For, digamos que termina luciendo así cuando nginx llega a ella:

X-Forwarded-For: 11.11.11.11, 123.123.123.123, 192.168.2.1, 127.0.0.1

Si simplemente toma la dirección más a la izquierda, eso le permitiría al cliente falsificar fácilmente su dirección IP. Pero con el ejemplo anterior nginx config, nginx solo confiará en las dos últimas direcciones como proxies. Esto significa que nginx elegirá correctamente 123.123.123.123como la dirección IP, a pesar de que la IP falsificada es realmente la más a la izquierda.

El análisis del X-Forwarded-Forencabezado es realmente defectuoso en el módulo nginx real_ip.

len = r->headers_in.x_forwarded_for->value.len;
ip = r->headers_in.x_forwarded_for->value.data;

for (p = ip + len - 1; p > ip; p--) {
  if (*p == ' ' || *p == ',') {
    p++;
    len -= p - ip;
    ip = p;
    break;
  }
}

Comienza en el extremo derecho de la cadena del encabezado, y tan pronto como ve un espacio o una coma, deja de buscar y pega la parte a la derecha del espacio o la coma en la variable IP. Por lo tanto, trata la dirección proxy más reciente como la dirección del cliente original .

No está jugando bien según las especificaciones; Este es el peligro de no explicarlo en términos dolorosamente obvios en un RFC.

Aparte: es difícil incluso encontrar una buena fuente primaria en el formato, que fue originalmente definido por Squid: una excavación en su documentación confirma el pedido; el más a la izquierda es el cliente original, el más a la derecha es el anexo más reciente. Estoy muy tentado a agregar una [cita requerida] a esa página de wikipedia. Una edición anónima parece ser la autoridad de Internet sobre el tema.

Si es posible, ¿puede hacer que sus proxies intermedios dejen de agregarse al final del encabezado, dejándolo solo con la dirección real del cliente?

X-Real-IP es la dirección IP del cliente real con el que está hablando el servidor (el cliente "real" del servidor), que, en el caso de una conexión proxy, es el servidor proxy. Es por eso que X-Real-IP contendrá la última IP en el encabezado X-Fordered-For.