SonarQube HTTP & HTTPS +反向代理: IP欺骗攻击？

Question

Sonarqube部署在intranet服务器(=> http url)上。

当使用DMZ反向代理声明https internet url访问此服务器时，会发生以下错误：

2013.11.22 19:47:53 ERROR rails  /!\ FAILSAFE /!\  Fri Nov 22 19:47:53 +0100 2013
  Status: 500 Internal Server Error
  IP spoofing attack?!
HTTP_CLIENT_IP="[real.ip.deleted]"
HTTP_X_FORWARDED_FOR="[real.ip.deleted]"

Rails是正确的，但是这个用例是可以接受的(向供应商建议SonarQube UI，或者当我想用我的cofee时间检查我的Smartphne上的CI结果时)。

禁用ip欺骗或取消代理ip验证的可能性可能是一个很好的特性，配置为IN sonar.properties。

设置了一个解决方案(在声纳3.7.3中测试)

File : [sonar-dir]/war/sonar-server/WEB-INF/gems/gems/actionpack-2.3.15/lib/action_controller/base.rb

@@ip_spoofing_check = false

但是修改发行版是不可持续的。

Answer 1

这种情况似乎是特定的Apache2.2配置在反向代理(ProxyPass指令)前面的SonarQube。

这个版本的为“标题”。

最好的解决方案(与公开的解决方案相比)是在Apache2.4中进行升级。

指令ProxyAddHeaders可用于控制此标头的添加。

其他堆栈溢出线程：is-there-a-way-to-remove-apaches-reverse-proxy-request-headers