إدخال غير صالح لتحديث عنوان IP

الدعم تثبيت
1

Hi,

There is a lot of errors in /logs, which states there is invalid input for update_ip_address operation.

image
image1144×335 71.1 KB

The discourse is deployed in Azure, with a separated PostgreSQL and Redis service.

Error logs:

/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/rack-mini-profiler-0.10.7/lib/patches/db/pg.rb:90:in `async_exec'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/rack-mini-profiler-0.10.7/lib/patches/db/pg.rb:90:in `async_exec'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/connection_adapters/postgresql_adapter.rb:614:in `block (2 levels) in exec_no_cache'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activesupport-5.1.4/lib/active_support/dependencies/interlock.rb:46:in `block in permit_concurrent_loads'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activesupport-5.1.4/lib/active_support/concurrency/share_lock.rb:185:in `yield_shares'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activesupport-5.1.4/lib/active_support/dependencies/interlock.rb:45:in `permit_concurrent_loads'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/connection_adapters/postgresql_adapter.rb:613:in `block in exec_no_cache'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/connection_adapters/abstract_adapter.rb:612:in `block (2 levels) in log'
/usr/local/lib/ruby/2.4.0/monitor.rb:214:in `mon_synchronize'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/connection_adapters/abstract_adapter.rb:611:in `block in log'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activesupport-5.1.4/lib/active_support/notifications/instrumenter.rb:21:in `instrument'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/connection_adapters/abstract_adapter.rb:603:in `log'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/connection_adapters/postgresql_adapter.rb:612:in `exec_no_cache'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/connection_adapters/postgresql_adapter.rb:599:in `execute_and_clear'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/connection_adapters/postgresql/database_statements.rb:92:in `exec_delete'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/connection_adapters/abstract/database_statements.rb:140:in `update'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/connection_adapters/abstract/query_cache.rb:17:in `update'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/relation.rb:380:in `update_all'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/persistence.rb:333:in `update_columns'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/activerecord-5.1.4/lib/active_record/persistence.rb:306:in `update_column'
/var/www/discourse/app/models/user.rb:529:in `update_ip_address!'
/var/www/discourse/lib/auth/default_current_user_provider.rb:74:in `block in current_user'
/var/www/discourse/lib/scheduler/defer.rb:74:in `block in do_work'
/var/www/discourse/vendor/bundle/ruby/2.4.0/gems/rails_multisite-1.1.2/lib/rails_multisite/connection_management.rb:77:in `with_connection'
/var/www/discourse/lib/scheduler/defer.rb:72:in `do_work'
/var/www/discourse/lib/scheduler/defer.rb:61:in `block (2 levels) in start_thread'
2

looks to me like you are forwarding an incorrect field to ip address. How do you have IP Address forwarding configured?

3

Thank you Sam.
I didn’t configure that on purpose. Where can I check the config?

4

In the Azure setup… somewhere. That data is not coming from within Discourse.

6

It’s ip address from our company proxy. I don’t know how is the portal address added. Can we just remove the port info to accept this ip?

7

No, it isn’t an IP address, and that’s the problem. If you’ve got a proxy that’s including a port number in what’s supposed to be an IP address, then the proxy is broken, and you’ll want to get that fixed.

8

I haven’t find the root cause yet. But I find a defected solution. By adding the following configuration in app.yml. I make the input of ip_address valid.

       filename: /etc/nginx/conf.d/discourse.conf
       from: $proxy_add_x_forwarded_for
       to: $http_your_original_ip_header
       global: true

The defected part is that the user ip_addresses are all 127.0.0.1 now. It’s not perfect, but the 500 errors won’t throw finally.

9

According to RFC 7239 - Forwarded HTTP Extension

5.2. Forwarded For

The “for” parameter is used to disclose information about the client
that initiated the request and subsequent proxies in a chain of
proxies. When proxies choose to use the “for” parameter, its default
configuration SHOULD contain an obfuscated identifier as described in
Section 6.3. If the server receiving proxied requests requires some
address-based functionality, this parameter MAY instead contain an IP
address (and, potentially, a port number). A third option is the
“unknown” identifier described in Section 6.2.

If your nginx setting is using $proxy_add_x_forwarded_for as the indicate of user ip. I think ip with port will be a valid input here. You may need to strip the port info out.

10

Well, this needs to be amended upstream then, see:

Feel free to raise a feature request for it at:

11

That RFC describes the format of the Forwarded: HTTP request header. The X-Forwarded-For header, which we’re examining, has different semantics.

12

Thanks for the correction.
And for Azure Gateway, it does have a different definition for x-forwarded-for.
See Frequently asked questions about Application Gateway | Microsoft Learn

Q. Does Application Gateway support x-forwarded-for headers?

Yes, Application Gateway inserts x-forwarded-for, x-forwarded-proto, and x-forwarded-port headers into the request forwarded to the backend. The format for x-forwarded-for header is a comma-separated list of IP:Port. The valid values for x-forwarded-proto are http or https. X-forwarded-port specifies the port at which the request reached at the Application Gateway.

I will seek solution in rack or Azure Gateway.
Thanks @sam also.

13

Hi,

Just to add to the conversation - this is standard practice in Azure Application Gateways, and it’s infuriating. They add the port to the forwarded-for header even though they also send it in the forwarded port header.

Two feedback/change requests on Microsoft which you can vote for;

Our “fix” is also the same as the above step, we’re manually setting the forwarded-for header to a generic ip as this caused lots of issues with users being logged out or the site not working properly.

Just out of interest, we are using a httpd redirect within the network, does anyone know if it is possible to rewrite the header and remove the port? Failing that can it be done in nginx (I am unfamiliar with nginx)?

I would look at submitting a PR if we get this fixed but the comments above seem to suggest the devs would prefer this fixing upstream - is that the case?

14

Great news! Microsoft have fixed their insufferable nonsense. Sort of!

https://azure.microsoft.com/en-gb/blog/rewrite-http-headers-with-azure-application-gateway/

15

للتوضيح فقط: هذا سيعمل فقط مع SKU V2. لذا إذا كان لديك V1 AppGateway، فلن تتمكن من إعادة كتابة الرأس.

16

نعم، بالنسبة لنا، كان الترقية إلى الإصدار 2 تستحق العناء فور توفرها لأحمال العمل الإنتاجية. تقوم بوابات Azure بأشياء غريبة كثيرة، مثل إرفاق المنافذ بعناوين IP في رأس X-Forwarded-For، وهي مجرد واحدة من الأمور ذات التوجه الشخصي التي أزعجتنا. عناوين VIP الثابتة رائعة.

توسع سعة البوابة تلقائيًا أمر رائع أيضًا، وقد أنقذنا مرة أو مرتين بالفعل. كما أن التكرار عبر المناطق (Zone Redundancy) أخيرًا موضع ترحيب كبير.

استغرقت عملية الهجرة حوالي عشرين دقيقة، ولدينا مئات المستمعين وبعض مجموعات الخلفيات (back pools) المعقدة نسبيًا. يوجد سكريبت PowerShell لمساعدتك، وهو بسيط للغاية.

غير متأكد مما إذا كنت تستخدم الشهادات على البوابة، ولكن إذا كنت تستخدمها، فإن الإصدار 2 سريع جدًا - فلا داعي للانتظار 40 دقيقة لتطبيق شهادة، فأصبح الأمر يستغرق ثوانٍ الآن.

التسعير أكثر تعقيدًا بكثير (مايكروسوفت تعطي بيد وتأخذ باليد الأخرى دائمًا)، ولكن بالنسبة لنا، حتى الآن، كانت الفواتير نفسها أو أقل.

17

حظًا سعيدًا. بسبب التكلفة الأعلى، اضطررنا إلى العودة إلى SKU V1 فور انتهاء النسخة التجريبية من V2.

على أي حال، يبدو أن هذه المشكلة/الحالة قد تم معالجتها مسبقًا عبر طلب دمج مدمج ويجب أن يكون مدرجًا منذ إصدار rack 2.0. لكن وفقًا لـ هذه المشكلة، لا يزال غير موجود في الإصدارات الحالية.

مؤقتًا، أقوم بتطبيق تصحيح أثناء عملية CI/CD للتعامل مع هذه المشكلة. ليس مثاليًا، لكنه يؤدي الغرض حتى نرى الإصلاح في إصدار rack/دسكروس القادم.

إذا كان أي شخص مهتمًا، فهذا هو الجزء الذي تحتاج إلى تعديله للتخلص من المنفذ الإضافي في lib/auth/default_current_user_provider.rb:

if current_user && should_update_last_seen?
  u = current_user
  ip_port_split = request.ip.split(':')
  ip_only = ip_port_split.first
  Scheduler::Defer.later "Updating Last Seen" do
    u.update_last_seen!
    u.update_ip_address!(ip_only)
  end
end

لا أعرف ما إذا كانت فكرة جيدة استبدال أي ظهور لـ request.ip بهذا الإصلاح السريع في أي مكان آخر في هذا الملف أو ملفات أخرى (email_controller.rb، 006-mini_profiler.rb، request_tracker.rb)، لكنه يعمل بالنسبة لنا.
كما قلنا، تطبيقه كـ patch أثناء عمليات البناء/CI يحافظ على نظافة قاعدة الكود وقابليتها للتحديث.

أي حل “أجمل” مرحب به.

18

تتمة قصيرة.
إن “الإصلاح” الذي قدمته أعلاه يتسبب في بعض المشاكل مثل تلك الموصوفة هنا.

لحل هذه المشكلة مؤقتًا، نقوم بتغليف جزء “الانقسام” هذا داخل كتلة begin…rescue…end على النحو التالي:

begin
  ip_port_split = request.ip.split(':')
  ip_only = ip_port_split.first
rescue
  ip_only = request.ip
end

مع أطيب التحيات
ساسشا

19

لذا، مع هذا الالتزام (التحديث إلى rack 2.0.8)، لم يعد تنسيق ip:port لبوابة تطبيقات Azure الإصدار 1 يُعد مشكلة.