Ieri un collega mi ha fatto notare che visitando il sito www.ripe.net, in alto a destra veniva visualizzato il suo IP pubblico (che è cosa buona e giusta) ma anche il suo indirizzo IP privato 172.16.*.*.

Come prima cosa gli ho suggerito di levare il proxy, in quanto ho subito sospettato che era li che stava il problema. Alzo dunque una regola temporanea sul firewall per consentire al mio collega la navigazione diretta sul Web e successivamente lo faccio ricollegare al sito precedentemente citato. A quel punto l’unico indirizzo IP visualizzato era quello pubblico.

Cercando un po sul Web mi sono accorto che esiste un campo nell’header HTTP, chiamato X_FORWARDED_FOR, il quale specifica tutti gli IP che sono stati contattati prima che la richiesta arrivi al server Web di destinazione. Ovviamente, tra questi indirizzi, c’è anche l’IP della macchina che ha generato la request, nella fattispecie quello privato.

Spulcio quindi la configurazione di squid ed aggiungo la seguente direttiva:

header_access X-Forwarded-For deny all

che è molto meglio di:

X-Forwarded-For off

in quanto, a differenza di quest’ultima, consente di abilitare tale opzione solo per alcune macchine in caso di necessità (creando delle opportune ACL).

Lancio uno squid -k reconfigure e mi ricollego al sito www.ripe.net tramite proxy. Adesso l’unico IP visualizzato è quello pubblico.

Spero di avervi fornito un’utile dritta.

A presto.