接続元制限を行うプロキシを構築したい

現在Squid 3.5.20でフォワードプロキシを構築しています。
接続先はホワイトリストにて制限しています。
構成は下記となります。

■AsIs
クライアント
↓
Load Balancer
↓
Squid
↓
インターネット

今回接続元のクライアントをIPレンジでの制限をかけたいと考えていますが、
Load BalancerはTCP(任意の10300番ポートなど)でSquidに通信を振り分けているため、
接続元のIPアドレスが全てLBとなってしまいSquidで接続元の制限をかけることができません。

質問①
Squidに対しTCPの振り分けを80番ポートで行うなどで、
Squidで接続元のIPアドレスを取得し制限をかける方法はないでしょうか？

質問②
「質問①」ができない場合、前段にApacheを導入し多段プロキシ構成とすることで、
Load BalancerからHTTPでの振り分けにすることで、
接続元の制限をかけることが可能であることは検証したのですが、
Apacheから同サーバ内のSquidに対してさらにフォワーディングを行いたいのですが、
どのように実装すればよいでしょうか？

下記設定を入れて実装したのですが、想定通りの挙動となりませんでした。
ProxyRemote * http://10.225.160.38:10809/
<Proxy *>
Require all denied
</Proxy>

なお、質問②の場合は下記となる想定です。
■ToBe
クライアント
↓
Load Balancer
↓
Apache（2.4）
↓
Squid
↓
インターネット

お手数ですが、ご教示いただけますようお願いいたします。

※追記1
Squidの前はApacheでフォワードプロキシを構築していました。
その際は問題なく接続元で制限できていました。
ただし、任意のタイムアウト時間で通信を切断できなかったためSquidに変更した経緯があります。

over

2017/08/23 04:27

LBの透過モードを許容しないネットワーク構成でしょうか?そうでない場合、透過モード採用でもOKなのでしょうか?

proxy

2017/08/23 07:45

LBは透過モードも採用可能です。Squidの前はApacheでフォワードプロキシを構築していました。その際は問題なく接続元で制限できていました。ただし、任意のタイムアウト時間で通信をきれなかったのでSquidに変更した経緯があります。

over

2017/08/23 08:24

??透過モードであれば、Squidであろうが接続元のIPは取得できると思いますが、それができないとはいかに?

proxy

2018/04/03 10:23

遅くなりすみません、おっしゃる通り取得でき解決しました！

行動規範の内容に同意します

回答1件

ベストアンサー

もし、Load Balancer が X-Forwarded-For ヘッダに接続元IPアドレスの情報を付加するのであれば、follow_x_forwarded_for を以下のように設定するといいと思います。

acl my_clients src (許可するIPアドレス、ネットワークアドレス)
http_access allow my_clients

acl my_lb src (Load BalancerのIPアドレス)
follow_x_forwarded_for allow my_lb

# 以下はデフォルトで on なので、省略可
acl_uses_indirect_client on
delay_pool_uses_indirect_client on
log_uses_indirect_client on

投稿2017/08/23 09:52

TaichiYanagiya

総合スコア12146

proxy

2017/08/23 11:30

設定してみましたがSquidが起動しませんでした。 ■エラーメッセージ squid[25393]: Bungled /etc/squid/squid.conf line <行数>: follow_x_forwarded_for allow <LBのIPアドレス> squid[25393]: FATAL: Bungled /etc/squid/squid.conf line <行数>: follow_x_forwarded_for allow <LBのIPアドレス> squid[25393]: Squid Cache (Version 3.5.20): Terminated abnormally. squid[25393]: CPU Usage: 0.009 seconds = 0.006 user + 0.003 sys squid[25393]: Maximum Resident Size: 29648 KB squid[25393]: Page faults with physical i/o: 0 systemd[1]: squid.service: control process exited, code=exited status=1 systemd[1]: Failed to start Squid caching proxy. systemd[1]: Unit squid.service entered failed state. systemd[1]: squid.service failed. ■squid.conf(コメント行割愛) acl localnet src <接続を許可するセグメント> acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 443 # https acl CONNECT method CONNECT http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager http_access deny !localnet acl whitelist dstdomain "/etc/squid/whitelist" http_access allow whitelist http_access deny all http_port <プロキシサーバのIPアドレス>:10808 coredump_dir /var/spool/squid forwarded_for off follow_x_forwarded_for allow localhost follow_x_forwarded_for allow <LBのIPアドレス> request_header_access Referer deny all request_header_access X-Forwarded-For deny all request_header_access Via deny all access_log /var/log/squid/access.log combined