Docker-IP in der Protokollierung

schwendtke 2020-04-16 06:35:09 UTC #1

Hallo zusammen,

wir haben ein kleines noch nicht akutes Problem. Wir betreiben eine eGroupware 19.1 als Docker in einer DMZ wo von “Außen”, über entsprechende Mechanismen die Anmeldung an die eGroupware prinzipiell möglich ist. Nun ist es aber so, dass genau diese Anmeldungen aus dem öffentlichen IP-Adressraum immer mit der vermeintlichen Client Adresse 172.18.0.1 bei der Groupware ankommen. Dies hat zur Folge, dass eventuelle Falschanmeldungen (von Missbrauch will ich jetzt mal nicht ausgehen) zur Sperrung dieser IP führen und somit von “Außen” für alle Benutzer egal welcher IP-Herkunft gar nix mehr geht, weil sie alle von dieser IP des Dockers kommen.
Hier mal ein Bildchen dazu. Grün eine interne Anmeldung, rot diverse Anmeldungen von “Außen”.

grafik

Mit der Auswertung von phpinfo() zeigt sich aber, dass die Konnektierung von “Aussen” eigentlich sehr wohl die öffentliche IP prinzipiell in die DMZ weitergereicht wird.
Dazu hier der screenshot:

Wo können wir ansetzen diese Sachlage zu ändern?

Danke schon mal und Gruß Jan!

StefanU 2020-04-16 10:01:12 UTC #2

Hallo Jan.

Also ich bin ja nicht der DMZ-Spezi… Auch kein Fan davon (außer ein Proxmox Mail Gateway in die DMZ zu legen).
Aber mal so für mein Verständnis: Hast du dann in der DMZ ein EGw-System mit Reverse-Proxy? Also eine Standard-EGw-Installation?

Klasse wäre ein Diagramm. Für deine Doku und für alle, die EGw in die DMZ legen wollen. Und vielleicht fällt uns dann auf woran dieses Verhalten liegt.

Wie sieht das denn bei dir im Setup/Host Informationen aus?

Stefan

schwendtke 2020-04-16 13:10:07 UTC #3

Hallo Stefan,
nun ich will behaupten, mit dem Konstrukt der DMZ hat es nix zu tun. Wie in der folgenden Grafik strukturell aufgezeigt, verhält sich nur die EGW im Docker so. Eine “alte” EGW verhielt sich auch anders. Es gibt an keiner Stelle ein NAT und unser Reverseproxy gibt die Adressen auch korrekt weiter. Es scheint uns, als ob im Log der Docker-eGroupware die falsche Server-Variable ausgewertet wird.

Ich habs mal skizziert, nicht schön, aber selten:

Gruß Jan

RalfBecker 2020-04-16 14:20:47 UTC #4

Hallo Jan,

Problem ist das die EGroupware bei mehreren IP-Adressen in X-Forwarded-For ausschließlich 10er Adressen abschneidet:

github.com

EGroupware/egroupware/blob/master/api/src/Session.php#L1602


	 *
	 * We remove further private IPs (from proxys) as they invalidate user
	 * sessions, when they change because of multiple proxys.
	 *
	 * @return string ip address
	 */
	public static function getuser_ip()
	{
		if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
		{
			$forwarded_for = preg_replace('/, *10\..*$/', '', $_SERVER['HTTP_X_FORWARDED_FOR']);
			if (preg_match(self::IP_REGEXP, $forwarded_for))
			{
				return $forwarded_for;
			}
		}
		return $_SERVER['REMOTE_ADDR'];
	}


	/**
	 * domain for cookies

Das ist natürlich so nicht richtig, da Docker z.B. 172.17+ benutzt.

An der Stelle sollten alle privaten IPs erlaubt sein:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Oder eine Konfiguration was welchen Proxys man vertrauen will.

Muss ich mal einbauen

Solange kannst Du es nur in den Sourcen im Container ändern …

Ralf

schwendtke 2020-04-20 06:21:44 UTC #5

Hallo Ralf,

nun das klärt die Sache ja komplett auf. Danke.

Jan