No, it isn’t an IP address, and that’s the problem. If you’ve got a proxy that’s including a port number in what’s supposed to be an IP address, then the proxy is broken, and you’ll want to get that fixed.
I haven’t find the root cause yet. But I find a defected solution. By adding the following configuration in app.yml. I make the input of ip_address valid.
filename: /etc/nginx/conf.d/discourse.conf
from: $proxy_add_x_forwarded_for
to: $http_your_original_ip_header
global: true
The defected part is that the user ip_addresses are all 127.0.0.1 now. It’s not perfect, but the 500 errors won’t throw finally.
The “for” parameter is used to disclose information about the client
that initiated the request and subsequent proxies in a chain of
proxies. When proxies choose to use the “for” parameter, its default
configuration SHOULD contain an obfuscated identifier as described in
Section 6.3. If the server receiving proxied requests requires some
address-based functionality, this parameter MAY instead contain an IP
address (and, potentially, a port number). A third option is the
“unknown” identifier described in Section 6.2.
If your nginx setting is using $proxy_add_x_forwarded_for as the indicate of user ip. I think ip with port will be a valid input here. You may need to strip the port info out.
Q. Does Application Gateway support x-forwarded-for headers?
Yes, Application Gateway inserts x-forwarded-for, x-forwarded-proto, and x-forwarded-port headers into the request forwarded to the backend. The format for x-forwarded-for header is a comma-separated list of IP:Port. The valid values for x-forwarded-proto are http or https. X-forwarded-port specifies the port at which the request reached at the Application Gateway.
I will seek solution in rack or Azure Gateway.
Thanks @sam also.
Just to add to the conversation - this is standard practice in Azure Application Gateways, and it’s infuriating. They add the port to the forwarded-for header even though they also send it in the forwarded port header.
Two feedback/change requests on Microsoft which you can vote for;
Our “fix” is also the same as the above step, we’re manually setting the forwarded-for header to a generic ip as this caused lots of issues with users being logged out or the site not working properly.
Just out of interest, we are using a httpd redirect within the network, does anyone know if it is possible to rewrite the header and remove the port? Failing that can it be done in nginx (I am unfamiliar with nginx)?
I would look at submitting a PR if we get this fixed but the comments above seem to suggest the devs would prefer this fixing upstream - is that the case?
Sim, para nós, valeu imediatamente a pena fazer o upgrade para a v2 assim que ela ficou disponível para cargas de trabalho em produção. Os Gateways do Azure fazem muitas coisas estranhas; adicionar portas aos IPs de X-Forwarded-For é apenas uma das coisas opiniativas que nos deixaram loucos. VIPs estáticos são maravilhosos.
A capacidade de autoescalagem do gateway também é ótima; já nos salvou a vida uma ou duas vezes. E a redundância de zona, finalmente, é muito bem-vinda.
A migração levou cerca de vinte minutos, e temos centenas de listeners e alguns pools de back-end relativamente complexos. Existe um script do PowerShell para ajudar, e é super simples.
Não sei se você usa certificados no gateway, mas, se usar, a v2 é super rápida: não há mais que esperar 40 minutos para aplicar um certificado; agora são segundos.
A precificação é muito mais complicada (a Microsoft dá com uma mão e sempre tira com a outra), mas, para nós, até agora, as contas foram as mesmas ou menores.
Sorte a sua. Por causa do custo mais alto, precisávamos voltar para o SKU V1 assim que o preview do V2 terminou.
De qualquer forma, parece que esse problema/caso já foi resolvido a montante por um PR mesclado e deveria estar incluído desde o rack 2.0. Mas, de acordo com essa issue, ele ainda está faltando nas versões atuais.
Temporariamente, aplico um patch durante o CI/CD para lidar com esse problema. Não é tão bom, mas resolve até que vejamos a correção em uma próxima versão do rack ou do Discourse.
Se alguém estiver interessado, esta é a parte que você precisa alterar para eliminar a porta extra em lib/auth/default_current_user_provider.rb:
if current_user && should_update_last_seen?
u = current_user
ip_port_split = request.ip.split(':')
ip_only = ip_port_split.first
Scheduler::Defer.later "Updating Last Seen" do
u.update_last_seen!
u.update_ip_address!(ip_only)
end
end
Não sei se é uma boa ideia substituir qualquer ocorrência de request.ip por essa correção rápida em qualquer outro lugar desse arquivo ou em outros (email_controller.rb, 006-mini_profiler.rb, request_tracker.rb), mas funciona para nós.
Como dito, aplicá-la como um patch durante seus processos de build/CI mantém a base de código limpa e atualizável.
