Habilitación del protocolo de proxy
IBM Cloud Internet Services intercepta paquetes antes de reenviarlos al servidor, de modo que si busca una IP de cliente, verá la IP de CISen lugar de la IP de cliente verdadera. Sin embargo, es posible que algunos servicios que ejecute requieran que conozca la verdadera IP de cliente. En estos casos, puede utilizar un protocolo de proxy para CIS para pasar la IP de cliente al servicio.
El envío de información de proxy depende de si se utiliza TCP o UDP. Para TCP, Range da soporte a la adición del protocolo proxy v1, que es la versión legible por el usuario soportada por Amazon ELB y NGINX. Para aplicaciones UDP, CIS ha desarrollado un protocolo proxy personalizado denominado Simple Proxy Protocol.
Esta característica requiere un plan Enterprise. Si desea actualizar, póngase en contacto con el equipo de su cuenta.
Habilitar protocolo de proxy v1 para TCP
- Inicie sesión en el CIS panel
- Pulse Rango.
- Localice la aplicación que utilizará el protocolo PROXY y pulse Configurar.
- En el menú, seleccione Protocolo PROXY v1.
Cuando las aplicaciones TCP están configuradas para utilizar el protocolo proxy v1, CIS añade cada conexión TCP de entrada con la cabecera de texto sin formato del protocolo proxy.
Cabecera del protocolo proxy v1
El protocolo proxy antepone a cada conexión un encabezado que informa la dirección IP y el puerto del cliente. Un encabezado de texto sin formato de protocolo proxy tiene el siguiente formato:
PROXY_STRING + single space + INET_PROTOCOL + single space + CLIENT_IP + single space + PROXY_IP + single space + CLIENT_PORT + single space + PROXY_PORT + "\r\n"
A continuación se muestra una línea de protocolo de proxy de ejemplo para una dirección IPv4:
PROXY TCP4 192.0.2.0 192.0.2.255 42300 443\r\n
A continuación se muestra una línea de protocolo de proxy de ejemplo para una dirección IPv6:
PROXY TCP6 2001:db8:: 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff 42300 443\r\n
Habilitación del protocolo proxy v2 para TCP/UDP
- Inicie sesión en el panel de control de CIS.
- Pulse Rango.
- Localice la aplicación que utilizará el protocolo de proxy y pulse Configurar.
- En el menú, seleccione Protocolo PROXY v2.
Cuando las aplicaciones TCP están configuradas para utilizar el protocolo proxy v2, CIS añade cada conexión TCP de entrada con la cabecera binaria del protocolo proxy.
Cuando las aplicaciones UDP están configuradas para utilizar el protocolo PROXY v2, CIS añade el primer datagrama UDP en una corriente con una cabecera binaria de protocolo proxy.
La cabecera v2 del protocolo de proxy
El protocolo proxy antepone a cada conexión un encabezado que informa la dirección IP y el puerto del cliente.
Una cabecera binaria de protocolo proxy para una dirección de entrada IPv4 tiene el formato siguiente:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| Proxy Protocol v2 Signature |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version|Command| AF | Proto.| Address Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IPv4 Source Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IPv4 Destination Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port | Destination Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Una cabecera binaria de protocolo proxy para una dirección de entrada IPv6 tiene el formato siguiente:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| Proxy Protocol v2 Signature |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version|Command| AF | Proto.| Address Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ IPv6 Source Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ IPv6 Destination Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port | Destination Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Habilitar protocolo proxy simple para UDP
Cuando se utiliza UDP, la información de IP y puerto de origen de cliente se puede obtener utilizando Simple Proxy Protocol, un protocolo ligero desarrollado específicamente para UDP.
Para habilitarlo, pulse Configurar en una aplicación Rango y conmute el valor de Protocolo proxy simple a On.
El protocolo simple de proxy indica que el origen también debe anteponer los paquetes destinados al cliente con la misma cabecera, incluida la información de origen del cliente original. Esto se hace para validar que los paquetes que entran están de hecho pensados para el cliente.