Мне проще перекопить нашу статью с кор.википедии. На ней не один сервер сейчас работает :))
===============================================================================

Итак, чтобы пофиксить проблему с реальными айпишниками клиентов при использовании связки nginx+apache2, нужн-то всего лишь поставить один модуль к апачу и прописать 3 строки в конфигах.

Чтоб избавится от неудобства необходимо лишь доставить модуль mod_rpaf2 к Apache 2.x.x

[root@server /]# whereis mod_rpaf2
mod_rpaf2: /usr/ports/www/mod_rpaf2
[root@server /]# cd /usr/ports/www/mod_rpaf2

Дальше стандартно:

[root@server /]# make install clean

В httpd.conf (конфиг файл Apache) ищем строку:

#LoadModule rpaf_module libexec/apache2/mod_rpaf.so

Де-коментим строку (путь к .so файлу может отличаться)

Далее в тот-же файл httpd.conf в самый низ дописываем 2 строки

RPAFproxy_ips 127.0.0.
RPAFEnable On

Первая строка - это IP прокси (может быть белым IP адресом), вторая - говорит Apache, что rpaf нужно использовать. Что делает rpaf? Он из заголовка X-Forwarded-for делает REMOTE_ADDR.

Собственно остается в конфиге nginx’а в разделе server (виртуального хоста, не в location'e Proxy-преедачи) дописать такие строки:

proxy_set_header   Host             $host;
proxy_set_header   X-Real-IP        $remote_addr;
proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;

Далее перезагружаем Apache и nginx

[root@server /]# apachectl restart
[root@server /]# /etc/rc.d/nginx restart

=========================================
Всё.

Добрый день,

только что наткнулся на эту проблему. Смотрю ничего не изменилось c того времени.

.htaccess с кодом не работает

order deny,allow
deny from all
allow from 111.111.111.111

Решение простое, заменить mod_rpaf на mod_extract_forwarded

1. инсталируем EPEL из http://fedoraproject.org/wiki/EPEL
http://download.fedoraproject.org/pub/epel/5/i386/epel-relea...

2. инсталируем mod_extract_forwarded
yum install --enablerepo=epel mod_extract_forwarded.i386

4. коректируем конфиг /etc/httpd/conf.d/mod_extract_forwarded.conf

по сути он стандартный, только меняем значени MEFaccept на нужное

MEFaccept 127.0.0.1

все работает. :)

>[оверквотинг удален]
> deny from all
> и соединяюсь к nginx (а он в свою очередь к apache) через
> http://external_ip/ - получаю страничку! Нету никакого Forbidden!..
> Т.о., прихожу к выводу что mod_rpaf не работает в конструкциях .htaccess и
> передаёт ip frontend`а (в моём случае 127.0.0.1).
> Поискал в инете, нашёл только один подобный случай для настроек виртуал хоста:
> http://www.apsis.ch/pound/pound_list/archive/2007/2007-01/11...
> Кто-нибудь проверьте пожалуйста на практике, может у меня где-то ошибка.
> Есть ли какие-нибудь решения? Может стоит автору rpaf обратить внимание на такой
> "баг".

debian 6.0

модуль mod_extract_forwarded не удалось скомпилить и подключить по нормальному иза ошибки какойто с прокси, в принцыпе там в исходнике правится #define, но почемуто после этого не стало работать, то что работало в centos.

вот что получилось и работает.
rpaf.conf
<IfModule mod_rpaf.c>
RPAFenable On
RPAFsethostname On
RPAFproxy_ips 184.xx.xx.xxx 127.0.0.1
</IfModule>

Nginx. 1.2
site.net
server {
<------>listen   80;
<------>server_name site.net *.site.net;

<------>root   /home/www/tube/site.net/public_html;

#<----->access_log /home/www/tube/site.net/log/ng-acc.log;
<------>error_log /home/www/tube/site.net/log/ng-err.log;

            location / {
                proxy_pass         http://184.xx.xx.xx:81;
                proxy_redirect     default;
                proxy_set_header   Host             $host;
                proxy_set_header   X-Real-IP        $remote_addr;
proxy_set_header    REMOTE_ADDR     $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                client_max_body_size       500m;
                client_body_buffer_size    128k;
                proxy_connect_timeout      90;
                proxy_send_timeout         900;
                proxy_read_timeout         900;
                proxy_buffer_size   4k;
                proxy_buffers              4 32k;
                proxy_busy_buffers_size    64k;
                proxy_temp_file_write_size 64k;
                charset         off;
                track_uploads proxied 30s;
            }

            location ^~ /contents/videos/ {
                flv;
                root /home/www/tube/site.net/public_html;
                internal;
            }

            location ^~ /contents/videos_sources/ {
                root /home/www/tube/site.net/public_html;
                internal;
            }

            location ^~ /contents/albums/sources/ {
                root /home/www/tube/site.net/public_html;
                internal;
            }

            location ^~ /contents/albums/main/700x525/ {
                root /home/www/tube/site.net/public_html;
                internal;
            }

            location ~* ^.+\.(gif|jpg|mpg|mp3|mpeg|avi)$ {
                valid_referers none blocked site.net *.site.net;
                if ($invalid_referer) {
                    return   403;
                }
                root /home/www/tube/site.net/public_html;
            }

    location ^~ /admin/include/get_upload_status.php  {
<------>report_uploads                  proxied;
#<----->upload_progress_header          hash;
<------>upload_progress_jsonp_output;
    }
}

--------------------------------
Order Allow,Deny
с пробелом без пробелом в обратном порядке и вовсе без ordera обрабатывается одинаково.
всем удачи.