コンテンツにスキップ

X-Forwarded-For

出典: フリー百科事典『ウィキペディア(Wikipedia)』

X-Forwarded-For (XFF) とは、HTTPヘッダフィールドの一つ。HTTPプロキシサーバまたは負荷分散装置(ロードバランサ)を経由してウェブサーバに接続するクライアントの送信元IPアドレスを特定する際のデファクトスタンダードである。このヘッダはSquidキャッシング・プロキシサーバの開発者により初めて導入された。のちに、IETFのネットワーク作業部会 (Network Working Group) が同種のHTTPヘッダForwardedRFC 7239 で提唱している。

ここでのキャッシング・サーバー(キャッシュ・サーバ)とは、概ね、大規模なISPの利用者がWWWへ接続する際にISPが利用を推奨または強制的に利用させるプロキシサーバのことを指し、データのキャッシングにより外部へのネットワーク帯域幅を減らす働きを持つ。いくつかの場合、これらプロキシサーバは透過的プロキシであり、利用者は利用していることに気付かないかもしれない。

XFFや別の類似の技術を利用しなければ、プロキシ経由の接続はすべてプロキシサーバの送信元IPアドレスのみを示すことになり、送信元IPアドレスが利用できなくなる。そのため、悪意あるアクセスを検知したり防ぐことはかなり困難になり、プロキシサーバを匿名サービス英語版に変えてしまう。XFFの利用は送信元ホストのIPアドレスを正直に報告するプロキシサーバの存在を仮定している。そのため、XFFを効果的に利用するためには、どのプロキシサーバが信頼できるかの情報が必須となる。例えば、信頼できる人物が管理するサーバが一覧化されているホワイトリストに当該プロキシサーバが載っているかを検索するなどして情報を得る必要がある。

フォーマット

[編集]

このフィールドの一般的なフォーマットは次の通りである。

X-Forwarded-For: client1, proxy1, proxy2

ここで、値(変数)はコンマとスペースで分けられたIPアドレスの一覧である。コロンとスペースの次に来る、最も左のカラムにある値は最下流に位置するクライアントのIPアドレス、続いて接続要求を伝送する、おのおの連続したプロキシが、接続要求の送信元IPアドレスを追加していく。この例では、接続要求はproxy1、proxy2を通過し、最後に接続要求側のリモート・アドレスとして現れるproxy3に伝わる。

X-Forwarded-Forフィールドをでっち上げるのは簡単なので[1]、与えられた情報は慎重に取り扱うべきである。最終IPアドレスは常に最後のプロキシに接続するIPアドレスであるが、すなわちこの情報ソースが最も信頼できることを意味する。

フォワードプロキシまたはリバースプロキシを利用するシナリオにおいてはX-Forwarded-Forデータが利用可能である。

クライアントがフォワードプロキシを利用するシナリオの場合、接続先ネットワークの管理者は、クライアント側内部のネットワークのプロキシ接続の連鎖を経由して、接続するクライアントの実体IPアドレスを追跡することが可能で、ゲートウェイ機器上でのそのIPアドレスが記録される。セキュリティ的理由で、インターネットへ接続要求を送信する前に、管理下にあるゲートウェイ機器は任意のX-Forwarded-Forを削るべきである。またX-Forwarded-Forの情報が管理下にあるネットワーク内部で全て生成される場合は、このシナリオにおいては、X-Forwarded-Forの情報を信頼できるようにすべきである。

管理下のネットワークがリバースプロキシを利用するシナリオの場合、たとえ管理下のウェブサーバがインターネットからの経路情報を持たない場合でも、- 例えばウェブサーバがOSI参照モデル第7層に位置するプロキシ機器の背後に隠れている場合でも、ウェブサーバ管理者はウェブサーバにインターネット接続するクライアントの実体IPアドレスを追跡できる。またインターネット上から欺瞞情報を受信する可能性がある場合は、このシナリオにおいては、全てのX-Forwarded-Forの情報は信頼すべきではない。X-Forwarded-Forフィールドに通知されているプロキシIPアドレスが信頼できるものか確かめるため、斯様な信頼できるIPアドレスのリストを利用するべきである。

プロキシ接続の連鎖の末端にあるIPアドレスはX-Forwarded-Forフィールドの中に含まれていないので、X-Forwarded-Forフィールドのログをただ取得することは常に十分であるとは限らない。その情報は実際にはIPヘッダに含まれている。徹底するためには、ウェブサーバは接続要求元IPアドレスとX-Forwarded-Forフィールドの情報の双方を記録すべきである。

各種製品のサポート状況

[編集]

プロキシサーバとキャッシュ・エンジン

[編集]

X-Forwarded-Forフィールドは多くのプロキシサーバやキャッシュ・エンジンでサポートされており、Apacheなどのウェブサーバと連携できるものも含まれる。一例を挙げると、

などがある。

X-Forwarded-Forフィールドを記録する方法はApache HTTP Serverをはじめとする多くのウェブサーバでサポートされている。Microsoft IIS 6.0と7.0では"Winfrasoft X-Forwarded-For for IIS"というサードパーティーISAPIフィルターがこの機能を実現している。IIS 7.0はまた、"HTTP Module"というサードパーティー製フィルターを利用できる[16]

ロードバランサ

[編集]
  • "Zeus Traffic Manager"と"Zeus Load Balancer"はX-Forwarded-Forフィールドをサポートしている。
  • Radwareのロードバランサはone-armed英語版[注釈 1]とmulti-armed設定用のX-Forwarded-Forをサポートしている。
  • シトリックス・システムズの"NetScaler"はクライアントのIPアドレスをクライアントの接続要求に挿入するため、X-Forwarded-Forをはじめとするユーザー定義フィールドをサポートしている[17]
  • "Cisco Ace Load Balancing Modules"は、送信元ネットワークアドレス変換("source NAT"、SNAT)を実行するためロードバランサを設定する時や、ロードバランサのone-armed設定を有効にした場合、このフィールドを挿入可能であり、通常それで十分であるが、一方、クライアントの送信元IPアドレスのために実体サーバが利用できる仕組みをこの製品は提供する。製品マニュアルには"x-forward"と記述されているが、これはX-Forwarded-Forの代わりであると推定される[18]
  • CAI Networksのロードバランサはone-armed single network設定向けのX-Forwarded-Forをサポートしている。
  • F5ネットワークスのロードバランサはone-armedとmulti-armed設定向けのX-Forwarded-Forをサポートしている[19]
  • jetNEXUSのロードバランサはone-armedとmulti-armed設定向けのX-Forwarded-Forをサポートしている。
  • KEMP Technologies英語版 "LoadMaster"はone-armedとmulti-armed設定双方で非透過的負荷分散処理向けにX-Forwarded-Forをサポートしている[20]
  • Coyote Point Systems英語版 "Equalizer"はone-armedとmulti-armed設定双方で負荷分散処理向けにX-Forwarded-Forフィールドをサポートしている[21]
  • HAProxyはone-armedとmulti-armed設定双方で非透過的または透過的負荷分散処理向けにX-Forwarded-Forをサポートしている。
  • OpenBSD "relays"はこのフィールドを挿入もしくは改変できる[22]
  • Amazon's Elastic Load Balancing serviceはIPv4、IPv6双方でこのフィールドをサポートしている[23]
  • "LBL LoadBalancer"はone-armedとmulti-armed設定向けにX-Forwarded-Forをサポートしている。

ウェブサーバ・ログのためのX-Forwarded-For

[編集]

多くのウェブサーバはログファイルにX-Forwarded-Forフィールドに含まれるIPアドレスを記録するよう設定できる。Apache HTTP Serverでは、これは標準機能として実装されており、単に設定を変更することでログに記録するようになる[10][24][注釈 2][注釈 3]。しかしながら、Microsoft IISはサードパーティー・アプリケーションが必要である[注釈 4]。IIS7向けには、IIS.netウェブサイトから、同様にIISのログにX-Forwarded-Forの値を書き込むフリーなIISモジュールを取得可能である[25]

脚注

[編集]

注釈

[編集]
  1. ^ VLAN間でのルーティングに利用されるルーターの設定。
  2. ^ 具体的には、X-Forwarded-Forは、(非標準であるとはいえ)HTTPヘッダフィールドであるから、設定ファイル(/etc/apache2/apache2.confなど)のLogFormatディレクティブにて
    LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b"
    

    などと記述してから、httpdデーモンを再起動すれば、以降のログの各行最左端にX-Forwarded-Forフィールドの中身が記録される。またApacheはHTTPヘッダフィールドを環境変数として利用可能であるからSetEnvIfディレクティブを利用し、X-Forwarded-Forと送信元IPアドレスを使った簡易なアクセス制御も可能である。

  3. ^ IHSも同様。"負荷分散装置やProxyが付与する"X-Forwarded-For"ヘッダー情報をIHSアクセス・ログに記録する方法 (NTWK-09-036)"
  4. ^ Winfrasoft X-Forwarded-For for IISはIISにX-Forwarded-For IPサポートを追加するIISのサードパーティー・プラグインである。これを利用すると、IISのW3C Extended Log Fileにおける"c-ip"(client-ip)ログ・フィールドにXFFの情報を追加することができる。

出典

[編集]
  1. ^ XFFを偽装するMozilla Firefox拡張機能が存在する。 X-Forwarded-For Spoofer”. Mozilla Foundation. addons.mozilla.org. 2011年7月8日閲覧。[リンク切れ]
  2. ^ Squid configuration directive forwarded_for(英語)
  3. ^ SquidFaq/ConfiguringSquid(英語)
  4. ^ mod_proxy(英語)
  5. ^ リバース・プロキシーとしての IHS の構成(英語)
  6. ^ Pound proxy(英語)。"Request Logging"を参照。
  7. ^ HAProxy 設定マニュアル(英語)
  8. ^ ログ記録に関するVarnish FAQ(英語)
  9. ^ IronPort Web Security Appliances(英語)
  10. ^ a b Apache または PHP で "X-Forwarded-For" を使用する(英語)
  11. ^ Bluecoat Knowledge Base Article 2996(英語)
  12. ^ Cisco Cache Engine ユーザガイド Version 2.1.0 - Appendix A: Command Reference - グローバル設定コマンド - "http"(英語)
  13. ^ Web キャッシュを調節 - NetApp NetCache C720(英語)
  14. ^ TMG, ISA サーバと IIS 向け X-Forwarded-For(英語)
  15. ^ TMG2010 向け X-Forwarded-For フリー・ウェブフィルター(英語)
  16. ^ IIS7 向け X-Forwarded-For HTTP Module, ソースも提供!(英語)
  17. ^ Citrix NetScaler Traffic Management Guide - Release 9.1
  18. ^ Cisco ACE with Source NAT and Client IP Header
  19. ^ Using the X-Forwarded-For HTTP header field to preserve the original client IP address for traffic translated by a SNAT
  20. ^ LoadMaster Product Manual. p.129
  21. ^ Equalizer User Guide. pp.119,136
  22. ^ relayd.conf manual page
  23. ^ Using IPv6 with Elastic Load Balancing
  24. ^ Extended X-Forwarded-For Logging with Apache”. www.gadgettrail.com (2005年1月11日). 2011年7月8日閲覧。
  25. ^ Client-ip not logged on application server when using ARR

関連項目

[編集]

外部リンク

[編集]
pFad - Phonifier reborn

Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


Alternative Proxies:

Alternative Proxy

pFad Proxy

pFad v3 Proxy

pFad v4 Proxy