From lcaron@unix-scripts.info Thu Nov 13 16:11:14 2014
From: Laurent CARON <lcaron@unix-scripts.info>
To: frsag@frsag.org
Subject: [FRsAG] [TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP contenant
 un header X-Forwarded-For:
Date: Thu, 13 Nov 2014 16:11:07 +0100
Message-ID: <5464CA0B.7010102@unix-scripts.info>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============6052400071471941401=="

--===============6052400071471941401==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

Bonjour,

Je constate depuis quelques semaines concernant seloger.com (et autres 
sites du groupe) et depuis ce matin concernant boursorama.com une 
impossibilité d'accès en passant pas un proxy envoyant X-Forwarded-For:

:squid.conf:
forwarded_for on -> valeur par défaut -> accès interdit à ces sites
forwarded_for delete -> accès autorisé

Exemple:
curl --header "X-Forwarded-For: 10.10.10.10" "http://www.boursorama.com"

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /
on this server.</p>
</body></html>

Note intéressante:
curl --header "X-Forwarded-For: 8.8.8.8" "http://www.boursorama.com" 
fonctionne

Il semblerait donc que boursorama n'accepte pas de requètes comportant 
un X forwarded for contenant une IP RFC1918.

Et vous, envoyez-vous un x-forwarded-for (à l'exterieur) ?
Rejetez-vous les requètes dans lesquelles x forwarded for contient une 
IP RFC1918 ?

Est-ce une "appliance" crypto-communisto-castratrice ?

Merci

Laurent

PS: J'ai essayé depuis plusieurs AS/ranges différents.

--===============6052400071471941401==--


From wallace@morkitu.org Thu Nov 13 16:22:50 2014
From: Wallace <wallace@morkitu.org>
To: frsag@frsag.org
Subject: Re: [FRsAG] [TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Thu, 13 Nov 2014 16:22:39 +0100
Message-ID: <5464CCBF.8040007@morkitu.org>
In-Reply-To: <5464CA0B.7010102@unix-scripts.info>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============6645893359192643870=="

--===============6645893359192643870==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

Bonjour Laurent,

Très intéressant, j'ai fait un coup de grep dans les logs des sites
qu'on héberge (on logue ce champs là en plus des éléments de base), je
peux dire que des petites PME comme la SNCF et d'autres passent par
plusieurs proxy qui envoie le x forward.

C'est peut être une mesure pour bloquer le surf perso depuis le bureau? :D



--===============6645893359192643870==
Content-Type: application/pgp-signature
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="signature.asc"
MIME-Version: 1.0

LS0tLS1CRUdJTiBQR1AgU0lHTkFUVVJFLS0tLS0KVmVyc2lvbjogR251UEcgdjEKQ29tbWVudDog
R1BHVG9vbHMgLSBodHRwOi8vZ3BndG9vbHMub3JnCkNvbW1lbnQ6IEdQR1Rvb2xzIC0gaHR0cDov
L2dwZ3Rvb2xzLm9yZwpDb21tZW50OiBHUEdUb29scyAtIGh0dHA6Ly9ncGd0b29scy5vcmcKCmlF
WUVBUkVDQUFZRkFsUmt6TDhBQ2drUUZxMmdpNFZQVGwwR25BQ2RGMFJGaXFCbmkyczEzUk1vRDVh
TmFuaDIKeHQ0QW5STStOSmQzSzhuRGJsakdVY1lKUDZDOXNONG4KPTQ2dEMKLS0tLS1FTkQgUEdQ
IFNJR05BVFVSRS0tLS0tCg==

--===============6645893359192643870==--


From lcaron@unix-scripts.info Thu Nov 13 17:27:16 2014
From: Laurent CARON <lcaron@unix-scripts.info>
To: frsag@frsag.org
Subject: Re: [FRsAG] [TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Thu, 13 Nov 2014 17:27:15 +0100
Message-ID: <5464DBE3.7030902@unix-scripts.info>
In-Reply-To: <5464CCBF.8040007@morkitu.org>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============6680881347852233223=="

--===============6680881347852233223==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

On 13/11/2014 16:22, Wallace wrote:
> C'est peut être une mesure pour bloquer le surf perso depuis le bureau? :D

Seloger et boursorama n'auraient (à mon avis) aucun intérêt à bloquer 
volontairement le surf "perso" depuis le bureau...mais on est pas encore 
vendredi... ;)


--===============6680881347852233223==--


From laurent.lecomte95@gmail.com Thu Nov 13 17:32:14 2014
From: Laurent Laurent <laurent.lecomte95@gmail.com>
To: frsag@frsag.org
Subject: Re: [FRsAG]	[TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Thu, 13 Nov 2014 17:32:13 +0100
Message-ID:
 <CA+Vs5a=U2e-Uy1p0oHJoVoe1bvaucuzoZmAYUANOT4GQdrmCjQ@mail.gmail.com>
In-Reply-To: <5464DBE3.7030902@unix-scripts.info>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============4562521135644570637=="

--===============4562521135644570637==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

Ça sent une mise à jour de l'IPS.

Dire qu'il y avait déjà des sites qui bloquaient les X-Forwarded-For avec
de l'IPv6, s'ils commencent à bloquer la RFC1918 comment allons nous
pouvoir glander ... heu travailler !!!!

Le 13 novembre 2014 17:27, Laurent CARON <lcaron(a)unix-scripts.info> a écrit
:

> On 13/11/2014 16:22, Wallace wrote:
>
>> C'est peut être une mesure pour bloquer le surf perso depuis le bureau? :D
>>
>
> Seloger et boursorama n'auraient (à mon avis) aucun intérêt à bloquer
> volontairement le surf "perso" depuis le bureau...mais on est pas encore
> vendredi... ;)
>
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>



--===============4562521135644570637==
Content-Type: text/html
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="attachment.html"
MIME-Version: 1.0
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--===============4562521135644570637==--


From lcaron@unix-scripts.info Thu Nov 13 20:43:55 2014
From: "Laurent Caron (Mobile)" <lcaron@unix-scripts.info>
To: frsag@frsag.org
Subject: Re: [FRsAG]	[TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Thu, 13 Nov 2014 20:43:45 +0100
Message-ID: <9B806071-D177-44E7-8E8C-6DF591032C02@unix-scripts.info>
In-Reply-To:
 <CA+Vs5a=U2e-Uy1p0oHJoVoe1bvaucuzoZmAYUANOT4GQdrmCjQ@mail.gmail.com>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============6560996314681810583=="

--===============6560996314681810583==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Le 13 novembre 2014 17:32:13 CET, Laurent Laurent <laurent.lecomte95(a)gmail.=
com> a =C3=A9crit :
>=C3=87a sent une mise =C3=A0 jour de l'IPS.
>
>Dire qu'il y avait d=C3=A9j=C3=A0 des sites qui bloquaient les X-Forwarded-F=
or
>avec
>de l'IPv6, s'ils commencent =C3=A0 bloquer la RFC1918 comment allons nous
>pouvoir glander ... heu travailler !!!!

Si les =C3=A9quipes IT de Boursorama/seloger/...peuvent m'=C3=A9clairer...

--===============6560996314681810583==--


From rolland@artefact.fr Fri Nov 14 00:10:10 2014
From: Eric ROLLAND <rolland@artefact.fr>
To: frsag@frsag.org
Subject: Re: [FRsAG] [TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Fri, 14 Nov 2014 00:10:10 +0100
Message-ID: <54653A52.9070602@artefact.fr>
In-Reply-To: <5464CA0B.7010102@unix-scripts.info>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============0848369235091081137=="

--===============0848369235091081137==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit


Bonsoir la liste,
Le problème ne serait pas dû à une mauvaise implémentation de la RFC2324 ?
http://tools.ietf.org/html/rfc2324
In french: http://goo.gl/bpvmjQ
Bon WE,
Eric ROLLAND
AS42929 - RE515-RIPE

------------------------------------------------------------------------
*Artefact communication interactive* | Bat. Artechnopole - 3 rue des
Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33
SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z |
TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07
Info réseau : @AS42929 <https://twitter.com/AS42929> - NOC Artewan
<https://noc.artewan.net/>

*artefact
*Communication Interactive
www.artefact.fr <http://www.artefact.fr> 	*artewan*
Opérateur de réseaux et de services
www.artewan.fr <http://www.artewan.fr> 	*arteone*
Datacenter, Informatique & Services IT
www.arteone.fr <http://www.arteone.fr>




--===============0848369235091081137==
Content-Type: text/html
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="attachment.html"
MIME-Version: 1.0
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--===============0848369235091081137==--


From kiwi@oav.net Fri Nov 14 09:52:47 2014
From: Xavier Beaudouin <kiwi@oav.net>
To: frsag@frsag.org
Subject: Re: [FRsAG] [TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Fri, 14 Nov 2014 09:52:45 +0100
Message-ID: <695E01CE-915A-4D84-9FCF-D64794CA39E0@oav.net>
In-Reply-To: <5464CA0B.7010102@unix-scripts.info>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============2242285037744239191=="

--===============2242285037744239191==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable


Le 13 nov. 2014 =C3=A0 16:11, Laurent CARON <lcaron(a)unix-scripts.info> a =
=C3=A9crit :

> Bonjour,
>=20
> Je constate depuis quelques semaines concernant seloger.com (et autres site=
s du groupe) et depuis ce matin concernant boursorama.com une impossibilit=C3=
=A9 d'acc=C3=A8s en passant pas un proxy envoyant X-Forwarded-For:
>=20
> :squid.conf:
> forwarded_for on -> valeur par d=C3=A9faut -> acc=C3=A8s interdit =C3=A0 ce=
s sites
> forwarded_for delete -> acc=C3=A8s autoris=C3=A9
>=20
> Exemple:
> curl --header "X-Forwarded-For: 10.10.10.10" "http://www.boursorama.com"
>=20
> <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
> <html><head>
> <title>403 Forbidden</title>
> </head><body>
> <h1>Forbidden</h1>
> <p>You don't have permission to access /
> on this server.</p>
> </body></html>
>=20
> Note int=C3=A9ressante:
> curl --header "X-Forwarded-For: 8.8.8.8" "http://www.boursorama.com" foncti=
onne
>=20
> Il semblerait donc que boursorama n'accepte pas de requ=C3=A8tes comportant=
 un X forwarded for contenant une IP RFC1918.
>=20
> Et vous, envoyez-vous un x-forwarded-for (=C3=A0 l'exterieur) ?
> Rejetez-vous les requ=C3=A8tes dans lesquelles x forwarded for contient une=
 IP RFC1918 ?

Je confirme la chose, donc j'ai plus twitter bourso : "ils sont au courant" :)

Pour info :

forwarded_for on -> valeur par d=C3=A9faut -> acc=C3=A8s interdit =C3=A0 ces =
sites
forwarded_for off -> (ma valeur par d=C3=A9faut) -> acc=C3=A8s interdit =C3=
=A0 ces sites
forwarded_for delete -> acc=C3=A8s autoris=C3=A9

J'ai donc mis l'option a delete. Ceci dit c'est pas "si mal" de mettre a dele=
te m=C3=AAme si pour les sites en questions ils ne savent plus qui est derri=
=C3=A8re le proxy.=20

Ca r=C3=A8gle le probl=C3=A8me c'est le principal (pour les gens qui sont der=
ri=C3=A8re les proxy). La cerise sur le gateau c'est que pour des sites illic=
ites ou trou=C3=A9s via des pubs a la con, =C3=A7a cache l'adressage ip derri=
=C3=A8re le proxy et donc baisse le risque potentiel de recherche de moyen de=
 contourner les diverses couches de s=C3=A9cu.

Je pense aussi que ce pb chez ces sites est qu'ils doivent utiliser des rever=
ses proxy et donc d=C3=A9pendre de cet header...

Xavier

--===============2242285037744239191==
Content-Type: application/pgp-signature
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="signature.asc"
MIME-Version: 1.0

LS0tLS1CRUdJTiBQR1AgU0lHTkFUVVJFLS0tLS0KCmlGNEVBUkVJQUFZRkFsUmx3dDBBQ2drUW5B
azBGbTBDVy9KQjV3RC9ZN1d2TmdrQktIbHRabW94dEsvL29IcHkKRzNBOFNhZ2dtK3lLeHhLVXho
NEEvaklSbnBoUXhTMmtLajRzRytjeWdET0tTR05IbzVIRFZsK0tnbmdWekpPTwo9STErcwotLS0t
LUVORCBQR1AgU0lHTkFUVVJFLS0tLS0K

--===============2242285037744239191==--


From lcaron@unix-scripts.info Fri Nov 14 11:10:42 2014
From: Laurent CARON <lcaron@unix-scripts.info>
To: frsag@frsag.org
Subject: Re: [FRsAG] [TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Fri, 14 Nov 2014 11:10:40 +0100
Message-ID: <5465D520.5060101@unix-scripts.info>
In-Reply-To: <695E01CE-915A-4D84-9FCF-D64794CA39E0@oav.net>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============4491654029730857571=="

--===============4491654029730857571==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

On 14/11/2014 09:52, Xavier Beaudouin wrote:
> Je confirme la chose, donc j'ai plus twitter bourso : "ils sont au courant"=
 :)

S'ils sont au courant, alors tout va bien ;)

> Pour info :
>
> forwarded_for on -> valeur par d=C3=A9faut -> acc=C3=A8s interdit =C3=A0 ce=
s sites
> forwarded_for off -> (ma valeur par d=C3=A9faut) -> acc=C3=A8s interdit =C3=
=A0 ces sites
> forwarded_for delete -> acc=C3=A8s autoris=C3=A9
>
> J'ai donc mis l'option a delete. Ceci dit c'est pas "si mal" de mettre a de=
lete m=C3=AAme si pour les sites en questions ils ne savent plus qui est derr=
i=C3=A8re le proxy.

En effet, =C3=A7a permet de regl^W contourner le probl=C3=A8me.

> Ca r=C3=A8gle le probl=C3=A8me c'est le principal (pour les gens qui sont d=
erri=C3=A8re les proxy). La cerise sur le gateau c'est que pour des sites ill=
icites ou trou=C3=A9s via des pubs a la con, =C3=A7a cache l'adressage ip der=
ri=C3=A8re le proxy et donc baisse le risque potentiel de recherche de moyen =
de contourner les diverses couches de s=C3=A9cu.
>
> Je pense aussi que ce pb chez ces sites est qu'ils doivent utiliser des rev=
erses proxy et donc d=C3=A9pendre de cet header...

Soit ils ont =C3=A9t=C3=A9 d=C3=A9march=C3=A9 par le m=C3=AAme consultant qui=
 leur a fourgu=C3=A9 une=20
security appliance, soit ils ont mis en place un jeu de r=C3=A8gles sans en=20
=C3=A9valuer les cons=C3=A9quences.

Bon 'dredi.

--===============4491654029730857571==--


From lcaron@unix-scripts.info Wed Nov 26 15:12:02 2014
From: Laurent CARON <lcaron@unix-scripts.info>
To: frsag@frsag.org
Subject: Re: [FRsAG] [TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Wed, 26 Nov 2014 15:12:01 +0100
Message-ID: <5475DFB1.6020005@unix-scripts.info>
In-Reply-To: <5464CA0B.7010102@unix-scripts.info>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============0362098332222259468=="

--===============0362098332222259468==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

On 13/11/2014 16:11, Laurent CARON wrote:
> Bonjour,
>
> Je constate depuis quelques semaines concernant seloger.com (et autres
> sites du groupe) et depuis ce matin concernant boursorama.com une
> impossibilité d'accès en passant pas un proxy envoyant X-Forwarded-For:

...snip...

Bonjour,

Il semblerait que seloger n'accepte en effet plus de champ 
X-Forwarded-For contenant plus d'une adresse IP.

http://www.bortzmeyer.org/7239.html

% curl --header "Forwarded-For: 8.8.8.8 1.1.1.1" www.seloger.com
renvoie une erreur 500

% curl --header "Forwarded: for=192.0.2.60;proto=http;by=203.0.113.43" 
www.seloger.com
est OK

Le header X-Forwarded-For non normalisé, contenant plus de 1 IP, serait 
donc persona non grata pour certains IDS/IPS/... ?

--===============0362098332222259468==--


From wallace@morkitu.org Wed Nov 26 16:09:34 2014
From: Wallace <wallace@morkitu.org>
To: frsag@frsag.org
Subject: Re: [FRsAG] [TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Wed, 26 Nov 2014 16:09:29 +0100
Message-ID: <5475ED29.4040302@morkitu.org>
In-Reply-To: <5475DFB1.6020005@unix-scripts.info>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============1950509072297769143=="

--===============1950509072297769143==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

Un client avec exactement le même souci s'en ai rendu compte avec
plusieurs retours de bugs fait à la dsi, je lui explique les raisons,
conclusion du DSI, "ok ils veulent pas nous voir pas de soucis on ira
sur d'autres sites, mettez en place une redirection pour que ça soit
transparent" du coup tu fais seloger.com on redirige vers un concurrent.
Pour Boursorama les comptes de la boite n'y sont pas, le personnel qui y
va est redirigé sur une page expliquant que ce site n'autorise pas
l'entreprise à s'y connecter. En même temps les gens consultent leurs
comptes sur leurs smartphones en majorité.

Finalement j'aime bien cette solution, ils veulent se priver de grosses
boites en client potentiels ok on va voir ailleurs c'est pas à nous de
changer.

Pour information c'est la même boite qui lorsque MacOS Lion est sorti
avec le clone maison de Samba recodé avec les pieds (pour cause de
passage GPLv3), tous les anciens Mac en 10.6 arrivaient à se connecter à
tous les partages windows et les nouveaux sous 10.7 n'y arrivaient plus.
Chez Apple on ne peut pas installer de version inférieur à celle livrée
avec l'ordi, du coup les nouveaux ordis ne pouvaient plus s'intégrer
dans le réseau. Au lieu d'appliquer un patch à l'arrache fait par les
constructeurs de Nas alors que Samba marche très bien, même réaction,
Apple veut plus de ses ordis chez nous, hé ben non on sera plus client
chez eux.

Tous les nouveaux collaborateurs ont eu des Dell par la suite et cela a
permis aussi d'étudier à nouveau le poste full Linux.
Depuis ça a prit, les gens migrent sous Ubuntu dans cette boite et les
derniers possesseurs de Mac savent qu'ils vont y passer aussi. Mais
comme ce sont les nouveaux collaborateurs qui ont essuyés les plâtres,
ceux qui migrent maintenant sont sereins.

Je l'aime bien ce client, si seulement ils pouvaient être tous comme ça.


--===============1950509072297769143==
Content-Type: application/pgp-signature
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="signature.asc"
MIME-Version: 1.0

LS0tLS1CRUdJTiBQR1AgU0lHTkFUVVJFLS0tLS0KVmVyc2lvbjogR251UEcgdjEKQ29tbWVudDog
R1BHVG9vbHMgLSBodHRwOi8vZ3BndG9vbHMub3JnCkNvbW1lbnQ6IEdQR1Rvb2xzIC0gaHR0cDov
L2dwZ3Rvb2xzLm9yZwpDb21tZW50OiBHUEdUb29scyAtIGh0dHA6Ly9ncGd0b29scy5vcmcKCmlF
WUVBUkVDQUFZRkFsUjE3U2tBQ2drUUZxMmdpNFZQVGwzRFRnQ2dobEVjRGthc3RrOXZUdVNDZ0Qv
TjhIZlgKOFJBQW9KQnNCNUl0Z0VzdnBsMDhnUlkrRmRha1lXOFkKPXRpY08KLS0tLS1FTkQgUEdQ
IFNJR05BVFVSRS0tLS0tCg==

--===============1950509072297769143==--


From manu@formidable-inc.net Wed Nov 26 16:32:24 2014
From: Manu <manu@formidable-inc.net>
To: frsag@frsag.org
Subject: Re: [FRsAG] [TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Wed, 26 Nov 2014 16:32:22 +0100
Message-ID: <5475F286.6020407@formidable-inc.net>
In-Reply-To: <5475ED29.4040302@morkitu.org>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============8294207304614491389=="

--===============8294207304614491389==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit


Le 26/11/2014 16:09, Wallace a écrit :
> En même temps les gens consultent leurs
> comptes sur leurs smartphones en majorité.

Ce qui en passant, me pose plus d'inquiétudes en terme de sécurité :-)

-- 
Manu Jacquet


--===============8294207304614491389==--


From bedis9@gmail.com Wed Nov 26 16:54:43 2014
From: Baptiste <bedis9@gmail.com>
To: frsag@frsag.org
Subject: Re: [FRsAG]	[TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Wed, 26 Nov 2014 16:54:41 +0100
Message-ID:
 <CAODHi7pZEjopvNqwrTPyR1aatkbuiV=09ctuubeX9Q9uZ_Htzg@mail.gmail.com>
In-Reply-To: <5475DFB1.6020005@unix-scripts.info>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============1779327238003492381=="

--===============1779327238003492381==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

Bonjour,

> % curl --header "Forwarded-For: 8.8.8.8 1.1.1.1" www.seloger.com
> renvoie une erreur 500

D'un point de vue HTTP, tu n'as envoyé qu'un header HTTP
X-Forwarded-For qui contient la chaine de caractère "8.8.8.8 1.1.1.1"
et qui n'est donc pas une adresse (ni deux) IP.
Si tu veux envoyer 2 adresses IP, tu as deux solutions:
  curl --header "Forwarded-For: 8.8.8.8, 1.1.1.1" www.seloger.com
ou
  curl --header "Forwarded-For: 8.8.8.8" --header "Forwarded-For:
1.1.1.1" www.seloger.com

Baptiste

--===============1779327238003492381==--


From bortzmeyer@nic.fr Wed Nov 26 16:58:30 2014
From: Stephane Bortzmeyer <bortzmeyer@nic.fr>
To: frsag@frsag.org
Subject: Re: [FRsAG] [TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Wed, 26 Nov 2014 16:57:59 +0100
Message-ID: <20141126155759.GA1504@nic.fr>
In-Reply-To:
 <CAODHi7pZEjopvNqwrTPyR1aatkbuiV=09ctuubeX9Q9uZ_Htzg@mail.gmail.com>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============5617013017771593666=="

--===============5617013017771593666==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

On Wed, Nov 26, 2014 at 04:54:41PM +0100,
 Baptiste <bedis9(a)gmail.com> wrote 
 a message of 20 lines which said:

> Si tu veux envoyer 2 adresses IP, tu as deux solutions:
>   curl --header "Forwarded-For: 8.8.8.8, 1.1.1.1" www.seloger.com
> ou
>   curl --header "Forwarded-For: 8.8.8.8" --header "Forwarded-For:
> 1.1.1.1" www.seloger.com

Mais le mieux serait d'envoyer l'en-tête HTTP standard...

http://www.bortzmeyer.org/7239.html

--===============5617013017771593666==--