Proxy-Protokoll aktivieren
IBM Cloud Internet Services fängt Pakete ab, bevor sie an Ihren Server weitergeleitet werden. Wenn Sie also nach einer Client-IP-Adresse suchen, sehen Sie die IP-Adresse von CISanstelle der echten Client-IP. Für einige Services, die Sie ausführen, müssen Sie jedoch möglicherweise die echte Client-IP-Adresse kennen. In diesen Fällen können Sie ein Proxy-Protokoll für CIS verwenden, um die Client-IP-Adresse an Ihren Service zu übergeben.
Das Senden von Proxy-Informationen hängt davon ab, ob TCP oder UDP verwendet wird. Für TCP unterstützt Range das Hinzufügen des Proxy-Protokolls v1, die lesbare Version, die von Amazon ELB und NGINX unterstützt wird. Für UDP-Anwendungen hat CIS ein angepasstes Proxy-Protokoll namens Simple Proxy Protocol entwickelt.
Für diese Funktion ist ein Enterprise-Plan erforderlich. Wenn Sie ein Upgrade durchführen möchten, wenden Sie sich an Ihr Kontoteam. Weitere Informationen finden Sie unter CIS im Vergleich der Tarife.
Aktivieren des Proxy-Protokolls v1 für TCP
- Navigieren Sie in der Konsole CIS zum Abschnitt Sicherheit.
- Wählen Sie die Registerkarte Bereich.
- Suchen Sie die Anwendung, die das Proxy-Protokoll verwenden soll, und klicken Sie auf Konfigurieren.
- Wählen Sie im Menü PROXY-Protokoll v1 aus.
Wenn TCP-Anwendungen für die Verwendung des Proxy-Protokolls v1konfiguriert sind, stellt CIS jeder eingehenden TCP-Verbindung den unverschlüsselten Header des Proxy-Protokolls vor.
Header v1 des Proxy-Protokolls
Das Proxy-Protokoll stellt jeder Verbindung einen Header voran, der die IP-Adresse und den Port des Clients angibt. Ein Proxy-Protokoll-Klartext-Header hat das folgende Format:
PROXY_STRING + single space + INET_PROTOCOL + single space + CLIENT_IP + single space + PROXY_IP + single space + CLIENT_PORT + single space + PROXY_PORT + "\r\n"
Das folgende Beispiel zeigt eine Proxy-Protokollzeile für eine IPv4-Adresse:
PROXY TCP4 192.0.2.0 192.0.2.255 42300 443\r\n
Das folgende Beispiel zeigt eine Proxy-Protokollleitung für eine IPv6-Adresse:
PROXY TCP6 2001:db8:: 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff 42300 443\r\n
Proxy-Protokoll v2 für TCP/UDP aktivieren
- Navigieren Sie in der Konsole CIS zum Abschnitt Sicherheit.
- Wählen Sie die Registerkarte Bereich.
- Suchen Sie die Anwendung, die das Proxy-Protokoll verwenden wird, und klicken Sie auf Konfigurieren.
- Wählen Sie im Menü Proxyprotokoll v2 aus.
Wenn TCP-Anwendungen für die Verwendung des Proxy-Protokolls v2konfiguriert sind, stellt CIS jeder eingehenden TCP-Verbindung den binären Header des Proxy-Protokolls vor.
Wenn UDP-Anwendungen für die Verwendung des Proxy-Protokolls v2konfiguriert sind, stellt CIS dem ersten UDP-Datagramm in einem Datenstrom einen binären Header des Proxy-Protokolls voran.
Header des Proxy-Protokolls v2
Das Proxy-Protokoll stellt jeder Verbindung einen Header voran, der die IP-Adresse und den Port des Clients angibt.
Ein Binärheader des Proxy-Protokolls für eine eingehende IPv4-Adresse hat das folgende Format:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| Proxy Protocol v2 Signature |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version|Command| AF | Proto.| Address Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IPv4 Source Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IPv4 Destination Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port | Destination Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Ein Binärheader des Proxy-Protokolls für eine eingehende IPv6-Adresse hat das folgende Format:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| Proxy Protocol v2 Signature |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version|Command| AF | Proto.| Address Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ IPv6 Source Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ IPv6 Destination Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port | Destination Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Simple Proxy Protocol für UDP aktivieren
Wenn Sie UDP verwenden, können Sie die Quellen-IP und Portinformationen für den Client über das Simple Proxy Protocol abrufen, ein einfaches Protokoll, das speziell für UDP entwickelt wurde.
Klicken Sie zum Aktivieren auf Konfigurieren in einer Range-Anwendung und schalten Sie die Einstellung für Simple Proxy Protocol auf On um.
Das Simple Proxy Protocol legt fest, dass Ihr Ursprung auch Pakete, die für den Client bestimmt sind, mit demselben Header voranstellen muss, einschließlich der ursprünglichen Clientquelleninformationen. Damit wird geprüft, ob eingehende Pakete tatsächlich für den Client bestimmt sind.