Forum Linux.général Varnish et les ports sources des clients

Posté par (page perso) . Licence CC by-sa
Tags :
4
18
fév.
2014

Salut à toi, Ô grand forum !

J'espère que tu pourras m'aider.

Comme tu l'as peut-être vu, j'ai lancé récemment Lutim.

Alors, oui, j'ai merdé sur certaines choses au niveau confidentialité, mais je me suis amélioré. Par contre, côté légal, c'est pas forcément tiptop : il faudrait que j'enregistre le port source de l'envoyeur d'une nimage (l'IP, c'est bon, j'ai pas de souci).

Mais j'utilise Varnish comme reverse proxy et je n'arrive pas à faire en sorte que Varnish fournisse le port source du client à mon serveur d'application (mon serveur d'application lui ne voit que le port source de la requête de Varnish). Genre j'aimerais qu'il mette un header X-RealSourcePort.

C'est bête, mais Varnish peut loguer cette info, mais il n'y donne pas accès dans les vcl (https://www.varnish-cache.org/docs/3.0/reference/vcl.html#variables).

As-tu une idée, forum ? Un hack, une option qui m'aurait échappée, que sais-je…

Non, pas passer à Nginx : j'avais du Nginx avant, les perfs sont moins bonnes (chez moi, je précise).

  • # l'interet du port source ?

    Posté par . Évalué à 3.

    le port source est variable entre deux connexions,
    un meme client peut avoir divers ports sources entre chaque connexion.

    je ne vois pas trop ce que tu pourras en faire, ni quel pourrait etre l'interet d'avoir cette information.

    • [^] # Re: l'interet du port source ?

      Posté par . Évalué à 1.

      Oui, il faudrait bien évidement associer l'heure exacte.

      C'est une recommandation de l'IETF (RFC 6302) due en grande partie à la pénurie d'IPV4 et du partages des adresses IP par plusieurs utilisateurs.
      Voir aussi cet article sur le blog de Stéphane Bortzmeyer.

      • [^] # Re: l'interet du port source ?

        Posté par . Évalué à 0.

        pour que cela ait un interet il faudrait aussi que le proxy/routeur de l'utilisateur log la correspondance IP interne/port externe

        • [^] # Re: l'interet du port source ?

          Posté par (page perso) . Évalué à 6.

          Oeuf, poule… On avance jamais si on attend que tout le monde loggue le port (alors qu'ils attendent que toi tu loggues le port avant de trouver à ayant un interêt).

          Si tu implementes de ton côté, tu es alors clean, c'est la merde de l'autre si il n'est pas capable de savoir qui il y a derrière son NAT.

          • [^] # Re: l'interet du port source ?

            Posté par (page perso) . Évalué à 2.

            Si tu implementes de ton côté, tu es alors clean, c'est la merde de l'autre si il n'est pas capable de savoir qui il y a derrière son NAT.

            Exactement ! On me dit "Qui a poussé une image pédoporno ?", je réponds IP et port source, après c'est au FAI de se démerder, pas à moi. Il avait qu'à mettre en place l'IPv6 ! :p

            It's a fez. I wear a fez now. Fezes are cool !

      • [^] # Re: l'interet du port source ?

        Posté par (page perso) . Évalué à 1.

        C'est justement cet article et cette RFC qui font que je m'y intéresse.

        It's a fez. I wear a fez now. Fezes are cool !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.