Ativando protocolo de proxy
IBM Cloud Internet Services intercepta pacotes antes de encaminhá-los para o seu servidor, de modo que se você consultar um IP do cliente, você vê CIS's IP em vez do verdadeiro IP do cliente. No entanto, alguns serviços que você executa podem exigir que você conheça o verdadeiro IP do cliente. Nesses casos, você pode usar um protocolo de proxy para CIS para passar o IP do cliente para o seu serviço.
O envio de informações de proxy junto é dependente de se o TCP ou UDP é usado. Para TCP, o Range suporta adicionar Protocolo de Proxy v1, que é a versão legível humana suportada pela Amazon ELB e NGINX. Para aplicativos UDP, CIS desenvolveu um protocolo de proxy personalizado chamado Protocolo de Proxy Simples.
Este recurso requer um plano Enterprise. Se você gostaria de se atualizar, entre em contato com a equipe da sua conta. Para obter mais informações, consulte Comparação de planos CIS.
Ativação do protocolo proxy v1 para TCP
- No console CIS, navegue até a seção Security (Segurança ).
- Selecione a guia Range.
- Localize o aplicativo que utilizará o protocolo PROXY e clique em Configurar.
- A partir do menu, selecione Protocolo PROXY v1.
Quando os aplicativos TCP são configurados para usar o protocolo proxy v1, CIS prepende cada conexão TCP de entrada com o cabeçalho niti-texto do protocolo proxy.
O cabeçalho do protocolo proxy v1
O protocolo proxy anexa a cada conexão um cabeçalho que informa o endereço IP e a porta do cliente. O cabeçalho de texto simples de um protocolo proxy tem o seguinte formato:
PROXY_STRING + single space + INET_PROTOCOL + single space + CLIENT_IP + single space + PROXY_IP + single space + CLIENT_PORT + single space + PROXY_PORT + "\r\n"
A seguir está uma linha de protocolo de proxy de exemplo para um endereço IPv4:
PROXY TCP4 192.0.2.0 192.0.2.255 42300 443\r\n
A seguir está uma linha de protocolo de proxy de exemplo para um endereço IPv6:
PROXY TCP6 2001:db8:: 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff 42300 443\r\n
Ativando o Protocolo Proxy v2 para TCP/UDP
- No console CIS, navegue até a seção Security (Segurança ).
- Selecione a guia Range.
- Localize o aplicativo que utilizará o protocolo proxy e clique em Configurar.
- A partir do menu, selecione Protocolo PROXY v2.
Quando os aplicativos TCP são configurados para usar o protocolo proxy v2, CIS prepende cada conexão TCP de entrada com o cabeçalho binário de protocolo proxy.
Quando os aplicativos UDP são configurados para usar o PROXY Protocol v2, CIS prepende o primeiro datagrama de UDP em um fluxo com um cabeçalho binário de protocolo proxy.
O cabeçalho do protocolo proxy v2
O protocolo proxy anexa a cada conexão um cabeçalho que informa o endereço IP e a porta do cliente.
Um cabeçalho binário de protocolo de proxy para um endereço de entrada IPv4 tem o seguinte formato:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| Proxy Protocol v2 Signature |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version|Command| AF | Proto.| Address Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IPv4 Source Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IPv4 Destination Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port | Destination Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Um cabeçalho binário de protocolo de proxy para um endereço de entrada IPv6 tem o seguinte formato:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| Proxy Protocol v2 Signature |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version|Command| AF | Proto.| Address Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ IPv6 Source Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ IPv6 Destination Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port | Destination Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Ativar o Protocolo Simples Proxy para UDP
Ao utilizar o UDP, o IP de origem do cliente e as informações da porta podem ser obtidas através do uso do Simple Proxy Protocol, um protocolo leve desenvolvido especificamente para UDP.
Para ativá-lo, clique em Configurar em um aplicativo Range e alterne a configuração para Protocolo de Proxy Simples para On.
Protocolo de Proxy Simão determina que sua origem também deve prepender pacotes feitos para o cliente com o mesmo cabeçalho, incluindo informações originais de origem do cliente. Isso é feito para validar que pacotes que chegam são de fato destinados ao cliente.