Forum Linux.général Varnish et les ports sources des clients

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
4
18
fév.
2014

Salut à toi, Ô grand forum !

J'espère que tu pourras m'aider.

Comme tu l'as peut-être vu, j'ai lancé récemment Lutim.

Alors, oui, j'ai merdé sur certaines choses au niveau confidentialité, mais je me suis amélioré. Par contre, côté légal, c'est pas forcément tiptop : il faudrait que j'enregistre le port source de l'envoyeur d'une nimage (l'IP, c'est bon, j'ai pas de souci).

Mais j'utilise Varnish comme reverse proxy et je n'arrive pas à faire en sorte que Varnish fournisse le port source du client à mon serveur d'application (mon serveur d'application lui ne voit que le port source de la requête de Varnish). Genre j'aimerais qu'il mette un header X-RealSourcePort.

C'est bête, mais Varnish peut loguer cette info, mais il n'y donne pas accès dans les vcl (https://www.varnish-cache.org/docs/3.0/reference/vcl.html#variables).

As-tu une idée, forum ? Un hack, une option qui m'aurait échappée, que sais-je…

Non, pas passer à Nginx : j'avais du Nginx avant, les perfs sont moins bonnes (chez moi, je précise).

  • # l'interet du port source ?

    Posté par  . Évalué à 3.

    le port source est variable entre deux connexions,
    un meme client peut avoir divers ports sources entre chaque connexion.

    je ne vois pas trop ce que tu pourras en faire, ni quel pourrait etre l'interet d'avoir cette information.

    • [^] # Re: l'interet du port source ?

      Posté par  . Évalué à 1.

      Oui, il faudrait bien évidement associer l'heure exacte.

      C'est une recommandation de l'IETF (RFC 6302) due en grande partie à la pénurie d'IPV4 et du partages des adresses IP par plusieurs utilisateurs.
      Voir aussi cet article sur le blog de Stéphane Bortzmeyer.

      • [^] # Re: l'interet du port source ?

        Posté par  . Évalué à 0.

        pour que cela ait un interet il faudrait aussi que le proxy/routeur de l'utilisateur log la correspondance IP interne/port externe

        • [^] # Re: l'interet du port source ?

          Posté par  (site Web personnel) . Évalué à 6.

          Oeuf, poule… On avance jamais si on attend que tout le monde loggue le port (alors qu'ils attendent que toi tu loggues le port avant de trouver à ayant un interêt).

          Si tu implementes de ton côté, tu es alors clean, c'est la merde de l'autre si il n'est pas capable de savoir qui il y a derrière son NAT.

          • [^] # Re: l'interet du port source ?

            Posté par  (site Web personnel) . Évalué à 2.

            Si tu implementes de ton côté, tu es alors clean, c'est la merde de l'autre si il n'est pas capable de savoir qui il y a derrière son NAT.

            Exactement ! On me dit "Qui a poussé une image pédoporno ?", je réponds IP et port source, après c'est au FAI de se démerder, pas à moi. Il avait qu'à mettre en place l'IPv6 ! :p

            Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

      • [^] # Re: l'interet du port source ?

        Posté par  (site Web personnel) . Évalué à 1.

        C'est justement cet article et cette RFC qui font que je m'y intéresse.

        Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.