こんにちは@mosuke5です。
もともとApach+PHPで動作していたシステムに、リバースプロキシ(Nginx)を前段に挟むことになりました。理由は、もともと社内ネットワークでのみ利用するシステムだったのですが、インターネットの外からも利用することになり、インターネットからの入り口にリバースプロキシを導入したからです。
つまり、Nginx->Apache->PHPという構成になりました。
リバースプロキシを導入した際によく問題となることだが、Apacheからみるとすべてリバースプロキシから通信がきているようにみえます。
接続元のIPアドレスがすべてリバースプロキシのもの変わってしまいます。
そこで、HTTPヘッダーに接続元のIPアドレス追加しアプリ側(PHP)で受け取る方法とその際の注意点を書きます。
リバースプロキシ側でHTTPヘッダー追加
まず、デフォルトのNginxの設定では接続元のIPアドレスをHTTPヘッダーに含みません。そのため、本当のクライアント側のIPアドレスをHTTPヘッダーに追加します。一般的にX-Forwarded-ForというHTTPヘッダーを利用します。
X-Forwarded-Forというヘッダー名にNginxでもっている変数$proxy_add_x_forwarded_forを追加する。
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
リバースプロキシしかり、AWSのELBなどしかり、L7でのプロキシやロードバランサを利用した際に、よくX-Forwarded-Forというヘッダー名がでてきます。このヘッダーはなんなのか?HTTPの標準のヘッダーとして存在するのかと疑問に思い調べてみると、RFCには定義されていないが一般的に利用されているヘッダーであることがわかりました。
X-Forwarded-For (XFF) とは、HTTPヘッダフィールドの一つ。HTTPプロキシサーバまたは負荷分散装置(ロードバランサ)を経由してウェブサーバに接続するクライアントの送信元IPアドレスを特定する際のデファクトスタンダードである。 (略)RFCの標準的なヘッダフィールドではないが、IETFのネットワーク作業部会 (Network Working Group) は2011年10月より同種のHTTPヘッダForwardedの標準化作業を開始した[1]。
PHPでX-Forwarded-Forを受け取る
リバースプロキシで’X-forwarded-For’という名前のHTTPヘッダーを追加したので、そのまま取得しようとするが、実はこのままだとうまくいきません。PHPのサーバ変数に入れる際に、名前を規則に従って変更するからです。これは、<a href=“https://www.ietf.org/rfc/rfc3875" target="_blank>“RFC3875(CGIの仕様) のProtocol-Specific Meta-Variablesに基づいて変換されているようです。
echo $_SERVER['X-Forwarded-For'];
// -> 存在しない
サーバ変数をvar_dumpを使って中身を確認してみると、HTTPが先頭についてて、すべて大文字になってて、ハイフンがアンスコに変わっていることが確認できます。
<?php
var_dump($_SERVER);
# array(x) { ["HTTP_X_FORWARDED_FOR"] => string(12) "192.168.33.1" ...... }
ためしにgetallheadersという関数で生のヘッダーの状態を確認してみると、想定通りでした。 つまりサーバ変数に格納するタイミングで、名前が変わるということです。
<?php
var_dump(getallheaders());
# array(x) { ["X-Forwarded-For"] => string(12) "192.168.33.1" ...... }
tcpdumpで生のパケットを確認してみる
結果は見えているのですが、気になったのでtcpdumpで生パケットの状態を確認してみます。Nginxからプロキシされるときは期待通りとヘッダー名は"X-Forwarded-For “になっていること確認できました。
$ sudo yum install tcpdump
$ tcpdump dst port 80 -X
# ながいんで適当に端折りました
11:04:01.883209 IP 10.0.2.15.43038 > 192.168.0.10.54655: Flags [.], seq 802:1603, ack 1, win 14600, length 1460
(略)
0x0000: 4500 0355 c705 0000 3706 24ca adc2 265f 1.0..X-Forwarded
0x0010: c0a8 000a 0050 d57f 51ad 1e62 e596 78a4 -For:.192.168.33
0x0020: 8018 0137 8dbe 0000 0101 080a d1dc c19e .1..Host:.xxxxxx
任意のHTTPヘッダーつけた場合
それでは、X-Forwarded-For以外の任意のHTTPヘッダーをつけた場合も同様になるのか確認してみます。 Nginxにて、‘my-header’という名前でヘッダーを追加してPHP側で受け取ります。
proxy_set_header my-header 'hogefugafoobar';
my-headerがHTTP_MY_HEADERに変わっていることが確認できた。
var_dump($_SERVER);
# array(35) { ["HTTP_MY_HEADER"] => string(14) "hogefugafoobar" ...... }
さいごに
PHPでHTTPヘッダーを受け取る際の注意点について見てきました。 本ブログではNginxを用いたリバースプロキシを例にしていますが、その他にもAWS ELBなどのL7のロードバランサを用いた場合も基本的に同様ですので、原理原則をおさえておくといいでしょう。
