F5转包时将请求IP记录到X-Forwarded-For字段

最近在做某个系统的安全加固的时候，发现tomcat记录的日志全部来自于F5转发的IP地址，不能获取到请求的真实IP。

经过抓包分析，F5在转发请求包的时候会将来源IP记录在HTTP包header中的X-Forwarded-For字段，如下图是用wireshark（www.wireshark.org/download.html）截取的包。

而Tomcat是在tomcat/conf/server.xml中配置日志选项的：

Tomcat如何记录日志

禁用<AccessLogValue>，则对应logs目录下不会生成localhost_access_log.txt

Logs下没有localhost_access_log.txt见：

当开启<AccessLogValue>，则会有localhost_access_log.txt日志记录请求来源

当配置中的pattern=common时，对应的日志是如下，无论正常请求和非法请求都会记录。

修改pattern为pattern='%{X-Forwarded-For}i %h %l %u %t "%r" %s %b'，则会记录headers头中的X-Forwarded-For信息

如果没有则记录为空，如下

验证：用fiddle构造有X-Forwarded-For的请求包

原始请求

构造X-Forwarded-For字段

服务器localhost_access_log.txt

不修改pattern，增加RemoteIpValue配置

前两个是记录X-Forworded-For，后面是没有X-Forwarded-For，说明是有效的

以上的这些都参考了相关文档，下面这些才是实验。

方案1显示空和转发IP

方案2显示直接来源IP

例如一个包里面有两个X-Forwarded-For字段

X-Forwarded-For：59.66.156.24

X-Forwarded-For：59.66.156.111

方案1日志为（记录第一个）：59.66.156.24 192.168.1.58 - - [12/Dec/2012:22:56:54 +0800] "GET /docs/ HTTP/1.1" 304 -

方案2日志为（记录第一个）：59.66.156.24 - - [12/Dec/2012:22:50:16 +0800] "GET /docs/ HTTP/1.1" 304 –

例如：X-Forwarded-For：59.66.156.24,59.66.156.111

方案1日志为显示完整X-Forwarded-For字段信息：

59.66.156.24,59.66.156.111 192.168.1.58 - - [12/Dec/2012:22:58:01 +0800] "GET /docs/ HTTP/1.1" 304 -

方案2日志记录为（记录最后一个IP）：

59.66.156.111 - - [12/Dec/2012:22:53:51 +0800] "GET /docs/ HTTP/1.1" 304 -

方案1真实反映X-Forwarded-For字段（无论有无IP，有多少个IP），并且以header头按顺序读取，显示读取到第一个X-Forwarded-For。

方案2试图将IP进行来源替换，如果有X-Forwarded-For字段，则显示最后一个IP，否则显示直接IP

因此从日志记录来看，方案1的信息量更为大。

如果有人伪造了多个X-Forwarded-For字段，而F5转包时，到底会将请求IP加到那个X-Forwarded-For字段呢？我只能寄希望于他会在第一个X-Forwarded-For中添加这个信息，否则tomcat就无法记录了。