环境的地址_Citrix ADC转发真实客户端IP地址

最新推荐文章于 2025-06-26 18:48:42 发布
原创 最新推荐文章于 2025-06-26 18:48:42 发布 · 900 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#环境的地址

本文详细介绍了如何在Citrix ADC中通过HTTP应用溯源、TCP应用溯源(ProxyProtocol和TCP Option)以及Syslog日志记录真实客户端IP地址。内容涵盖了配置方法和不同环境的验证步骤,适用于IPv4和IPv6环境。

3bbf7ac876e81f582b7624bb7f15bea9.gif

日拱一卒无有尽,功不唐捐终入海。

宁可十年不将军,不可一日不拱卒。

Citrix ADC 是一款应用交付和负载均衡解决方案,无论您的 Web、传统和云原生应用托管于何处,均可提供高质量的用户体验。Load Balancing是Citrix ADC的核心功能,客户端连接到Citrix ADC后,Citrix ADC通过Subnet IP(SNIP)作为源地址向后端服务器发起连接。

很多时候,后端服务器都需要记录真实客户端IP地址(溯源)。Citrix ADC可以通过不同的方式,在HTTP/TCP等应用上灵活地帮助用户实现这个需求。

HTTP应用溯源功能

RFC 7239(Forwarded HTTP Extension)标准规定使用HTTP协议的扩展头X-Forwarded-For来表示HTTP请求端真实IP地址。

Citrix负载均衡设备可以在HTTP服务上配置X-Forwarded-For字段并写入真实客户端IP地址。HTTP应用服务器可以通过读取X-Forwarded-For字段记录来溯源。

配置方法

编辑Load Balancing Service,启用Client IP并配置头名称为X-Forwarded-For

e7f644db7c3650f014167618b89e198b.png

IPv4环境验证

客户端:192.168.202.200
VIP服务器:192.168.202.26
SNIP接口:192.168.202.23
服务器:192.168.202.201

76f2425f04b0ad51dbcf7e05a79a7d4f.png

IPv6环境验证

客户端:fd00::192:168:202:200
VIP服务器:fd00::192:168:202:26
SNIP接口:fd00::192:168:202:23
服务器:fd00::192:168:202:201

965819c934962a6718df9c6438d8bc46.png

TCP应用溯源功能(ProxyProtocol)

Proxy Protocol是HAProxy于2010年开发和设计的一个Internet协议,通过为tcp添加一个很小的头信息,来方便的传递客户端信息(协议栈、源IP、目的IP、源端口、目的端口等),在网络情况复杂又需要获取用户真实IP时非常有用。其本质是在三次握手结束后由代理在连接中插入了一个携带了原始连接四元组信息的数据包。

参考链接:https://www.haproxy.org/download/1.8/doc/proxy-protocol.txt

Citrix负载均衡通过rewrite脚本,可以在TCP请求的payload中插入proxy protocol规范信息,真实服务器可以通过proxy protocol规范来读取真实客户端IP地址。

配置方法

创建Rewrite Action

add rewrite action proxyprotocol insert_before "client.tcp.payload(1)" "\"PROXY TCP4 \" + client.ip.src + \" \" + client.ip.dst + \" \" + client.tcp.srcport + \" \" + client.tcp.dstport +\"\r\n\""

add rewrite action proxyprotocolV6 insert_before "client.tcp.payload(1)" "\"PROXY TCP6 \" + client.ipv6.src + \" \" + client.ipv6.dst + \" \" + client.tcp.srcport + \" \" + client.tcp.dstport +\"\r\n\""

创建Rewrite Policy

add rewrite policy tcpsourceip-22 "CLIENT.TCP.DSTPORT.EQ(22)" proxyprotocol

add rewrite policy tcpsourceipV6-22 "CLIENT.TCP.DSTPORT.EQ(22)" proxyprotocolV6

绑定Rewrite Policy到TCP VIP

bind lb vserver 192.168.202.26_tcp_22 -policyName tcpsourceip-22 -priority 100 -gotoPriorityExpression NEXT -type REQUEST

bind lb vserver fd00::192:168:202:26_tcp_22 -policyName tcpsourceipV6-22 -priority 100 -gotoPriorityExpression NEXT -type REQUEST

IPv4环境验证

客户端:192.168.202.200
VIP服务器:192.168.202.26
SNIP接口:192.168.202.23
服务器:192.168.202.201

1fc77e87ecb0267c6aa0a8804821e9d7.png

881a7c017a14fb1503256043da92f52c.png

IPv6环境验证

客户端:fd00::192:168:202:200
VIP服务器:fd00::192:168:202:26
SNIP接口:fd00::192:168:202:23
服务器:fd00::192:168:202:201

be8ed2a8b4204d8ba875c9ae05ee7e62.png

782685280e63eaff8ef3040192860b1f.png

TCP应用溯源功能(TCP Option)

从Citrix ADC 13.0版本开始,支持在TCP Option字段插入客户端IP地址信息。这样的方法是通过在第一个数据包的TCP选项中发送客户端IP地址。如果后端服务器使用TCP选项读取客户端IP地址,则设备将使用TCP配置文件中的TCP选项号。IP地址存于TCP选项号28(不限于28,可在TCP配置上定义)。TCP选项方法在将客户端IP地址传送到后端服务器时包括插入和转发功能。在TCP选项配置中,设备添加了一个TCP选项28,以插入客户端IP地址并将其转发到后端服务器。

69ed2bb59c267db58a42f71d4a4cd319.png

注:如果启用TCP Option插入客户端IP地址,那么连接多路复用(Connection Multiplexing)功能将被禁止。

配置方法

测试版本:Citrix ADC 13.0 47.22

进入System -> Profiles -> TCP Profile,创建一个新的TCP Profile。勾选“Client IP TCP Option”选项并定义Option Number,这里我们选择“28”

efa659a0af64f0830b94dd983264f4a8.png

进入Traffic Management -> Load Balancing -> Services,编辑相关Service。点击Profiles,选择TCP Profile为刚才创建的Profile。

2697140db4c6b8520f5c1d5ede1f3e05.png

IPv4环境验证

客户端:192.168.202.200
VIP服务器:192.168.202.15
SNIP接口:192.168.202.13
服务器:192.168.202.201

70f6b2202609c77d9fa75fe32f0566d0.png

IPv6环境验证

客户端:fd00::192:168:202:200
VIP服务器:fd00::192:168:202:15
SNIP接口:fd00::192:168:202:13
服务器:fd00::192:168:202:201

cab6d9a7cbbc7af5ca56b110d2a8f1d8.png

Citrix负载均衡Syslog溯源

除了可以把真实客户端IP地址转发给后端服务器,Citrix ADC自身还可以通过Syslog方式记录真实客户端IP地址信息。用户也可以通过Syslog发送到收集器并记录溯源。

配置方法

进入System -> Auditing -> Syslog,创建新的Syslog收集器

7a826e4faec8a942527d9206e355ab53.png

创建Syslog Policy

b92c34b94f3602cdb972ab3665c50fd0.png

IPv4环境验证

客户端:192.168.202.200
VIP服务器:192.168.202.26
SNIP接口:192.168.202.23
服务器:192.168.202.201

2020-01-20 15:28:08	Local0.Info	192.168.201.21	 2020/01/20:15:20:58  DC-ADC21 0-PPE-0 : TCP CONN_DELINK 1778 0 :  Source 192.168.202.200:54120 - Vserver 192.168.202.26:80 - NatIP 192.168.202.23:2500 - Destination 192.168.202.201:80 - Delink Time 2020/01/20:15:20:58  - Total_bytes_send 78 - Total_bytes_recv 355

IPv6环境验证

客户端:fd00::192:168:202:200
VIP服务器:fd00::192:168:202:26
SNIP接口:fd00::192:168:202:23
服务器:fd00::192:168:202:201

2020-01-20 15:39:00	Local0.Info	192.168.201.21	 2020/01/20:15:31:50  DC-ADC21 0-PPE-0 : TCP CONN_DELINK 2193 0 :  Source fd00::192:168:202:200:41860 - Vserver fd00::192:168:202:26:80 - NatIP fd00::192:168:202:23:2209 - Destination fd00::192:168:202:201:80 - Delink Time 2020/01/20:15:31:50  - Total_bytes_send 86 - Total_bytes_recv 355

NAT64环境验证

客户端:fd00::192:168:202:200
VIP服务器:fd00::192:168:202:26
SNIP接口:192.168.202.23
服务器:192.168.202.201

2020-01-21 13:41:52	Local0.Info	192.168.201.21	 2020/01/21:13:41:51  DC-ADC21 0-PPE-0 : TCP CONN_DELINK 5741

更多的文章,请各位小主关注

a85723e94f440b2eb75fbc35a7507965.png

顾阑
关注
Citrix ADC Gateway配置
烟寒若雨的博客
07-31 2768
citrix adc gateway配置,citrix虚拟桌面配置安全应用网关
Citrix ADC负载均衡技术
烟寒若雨的博客
07-31 770
Citrix ADC 的对应用的多种高可靠性保障机制可在不影响应用或用户的情况下自动重新分配资源,并根据流量大小增加或减少容量,从而实现了服务器资源的最佳使用。保障可用性的设计允许用户只会访问到正确的应用资源,因此可确保应用处于 100%的可用状态,消除了停机和灾难期间常见的故障时间。...
X-Forwarded-For客户端IP获取和伪造
weixin_42159569的博客
04-21 1090
背景:我在做一个数据查询系统,有些高敏感数据信息,正常访问项目是无权限查看的。唯一的查看途径就是通过Citrix去访问。这时候就需要通过获取客户端地址(X-Forwarded-For)来判定是否Citrix环境。问题:项目是微前端架构,属于主应用中的一个子应用,前端资源和接口请求走了几层nginx(我的项目无权改配置),所以X-Forwarded-For中会有多个值,判断不够准确。最终方案:最终我们选择了拿到所有的X-Forwarded-For值,看是否包含Citrixip来解决!
Citrix ADC中SNIP的三种配置场景
caizhih的博客
11-10 986
子网IP地址(SNIP)是Citrix ADC拥有的IP地址,用于与服务器进行通信。 CitrixADC使用子网IP地址作为源IP地址来代理客户端与服务器进行连接。 根据不同的网络拓扑进行一个或多个SNIP不同方案的配置 1.直接连接的服务器子网 NS1(负载均衡器)上的虚拟服务器LBVS1用于负载S1与S2,S1与S2属于同一个子网,这两台服务器通过L2层交换机连接到NS1。NS1上绑定了S1和S2对应的服务,用来广播S1和S2的ARP广播请求,用以解决IP地址与MAC地址之间的映射问题。在S
Citrix Netscaler log client ip address
spatar的博客
02-19 753
Citrix Netscaler log client ip address 背景: Citrix Netscaler 默认不记录用户访问端的IP地址,需要开启相应的log. 目标: 在Netscaler上记录用户IP访问VIP的记录 理想目标: 用户访问了VIP后,Netscaler记录特定用户的IP、特定目的VIP. —没成功 做成功的是在Netscaler上开启了log tcp connection,任意用户访问任意VIP都会被记录下来 开启tcp connection记录功能 Configurat
CitrixADC 四种常见的拓扑模式以及MIP,SNIP的区别
caizhih的博客
11-11 5055
Citrix ADC设备拥有的关键IP地址包括: 1.NSIP:也是Citrix ADC设备的自身IP,NSIP用于管理、对NetScaler自身进行常规访问以及在高可用性配置中实现设备间通信的IP地址。 2.VIP:虚拟服务器IP,它是客户端连接到设备的公用IP地址,客户对可以对其直接进行访问,真正响应的请求是其后端的众多真实服务器。管理多种流量的一个设备可配置有多个VIP。 3.SNIP:子网IP地址,用于链接管理和服务器监视,可以为每个子网指定一个SNIP地址,也可以将SNIP地址绑定到VLAN
思杰 Citrix ADC产品介绍
烟寒若雨的博客
07-31 3282
Citrix ADC应用交付解决方案将传统数据中心产品的各项特性与功能整合至一个单独的网络设施中,其中包括负载均衡、缓存、SSL加速、攻击防御和SSL 等
基于Citrix ADC Gateway Smart Access功能 实现Citrix远程桌面&应用的用户访问控制
weixin_44315578的博客
06-09 2065
Citrix ADC是一款7层性能强大的应用交付产品,对于自家的明星产品Citrix CVAD更是拥有独特的Gateway功能提供了软硬结合的桌面云整体解决方案。 Citrix Gateway使用户能够利用任何设备,在任何地点任何时间通过单一URL安全地访问后端需要的应用及桌面。Citrix Gateway自带丰富的用户身份及管理功能,如:单点登录,多因素认证,联合身份认证,OTP等。除此之外还可以和CVAD通过集成的方式提供更加灵活的用户接入管理。 在此介绍Citrix Gateway独特的Smart A
Citrix负载均衡设备配置手册10.1
10-08
网络配置规范是负载均衡设备配置的关键,包括了管理IP地址、子网IP地址(SNIP)、缺省路由、静态链路聚合、动态链路聚合、端口HA监控、VLAN配置以及静态路由和NAT配置的详细步骤。 负载均衡虚拟服务器(VS)配置规范是...
Citrix NetScaler CSLB 配置手册
08-13
Citrix NetScaler作为一款高性能的应用交付控制器(ADC),通过其强大的内容交换(Content Switching, CSLB)功能,可以实现在单一IP地址下针对不同请求路径分发到不同的后端服务器。本文旨在提供一份详尽的配置手册,...
Citrix ADC VPX NSVPX-13.0-47.24_nc_64
03-06
思杰VPX网关 Citrix ADC NSVPX-13.0-47.24_nc_64 此版本修复了CVE-2019-19781漏洞,详见https://support.citrix.com/article/CTX267027
Citrix netscaler ipv6 LB 简易配置手册v1.0
09-10
用于Netscaler ipv6简易配置手册。 便于使用、理解。方便大家
Set telnet / SSH source IP address for Cisco router
Cyber Security Memo
12-14 268
ip ssh source-interface <interface to use>ip telnet source-interface <interface to use>R1#telnet 10.9.38.3 22 /source-interface l0Trying 10.9.38.3, 22 … OpenSSH-2.0-1.36 sshlib: GlobalSca...
思杰紧急修复已遭利用的NetScaler ADC严重漏洞
最新发布
smellycat000的专栏
06-26 210
思杰 (Citrix) 发布安全更新,修复了已遭利用的影响 NetScaler ADC 的严重漏洞CVE-2025-6543,CVSS v4评分9.2。近日,思科还修复了位于 NetScaler ADC 中的另外一个严重漏洞CVE-2025-5777,CVSS评分9.3,被用于访问可疑设备。本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。思杰公司并未披露该漏洞如何被用于真实攻击中,但表示,“已观测到针对未修复设备的利用。
Citrix 排错 无法连结至citrix XenApp服务器,指定的地址未配置citrix xenapp服务器...
weixin_34221276的博客
05-22 2817
Citrix 排错 无法连结至citrix XenApp服务器,指定的地址未配置citrix xenapp服务器 客户反应Xenapp 无法正常使用,提示无法连结至citrix XenApp服务器,指定的地址未配置citrix xenapp服务器。 其它全都检查了没问题,就是一个地方,win2003自带的防火墙开启了,嘿嘿,结果就死都找不到xenapp...
citrix receiver 添加账户报错:无法使用此服务地址添加您的账户
热门推荐
Jeffrey Lin的专栏
04-17 2万+
citrix receiver 添加账户是报错:如下图: 解决办法如下: 1.使用安装光盘中的enterprise版的receiver; 2.在storefront添加证书,并设置使用443端口访问,并将storefront设置为https的方式访问 3.修改注册表:打开注册表,双击编辑AllowAddStore 键值, 更改键值为A 32bit: HKEY_LOCAL_MACH
Citrix NetScaler Gateway:使用Smart Access实现根据源IP控制用户可访问的交付组
小陈杂货店
11-06 2246
一、导语 NetScaler Smart Access是NetSacler Gateway的一个高级功能。如果用户是通过NetScaler(ADC)访问应用或桌面,该功能可以限制用户的应用或者桌面的可视性。 二、实验目的 该实现目的为:用户通过NetScaler(https://poc.lab.local)访问交付组"DLWin1064"时,会验证用户客户端IP地址是否为172.19.31.0/24网段,如果客户端地址为172.19.31.0/24网段,则该用户可看到该交付组的桌面并正常连接,如果客户端
配置syslog发送_Citrix ADC Syslog配置推荐
weixin_35709851的博客
12-16 522
本文翻译自:https://www.citrix.com/blogs/2020/08/25/citrix-adc-syslog-configuration-the-missing-pieces/Syslog是IT系统管理的最常用的方法之一,用于在一个集中的地点接收来自各种系统的审计消息。Syslog可以对所有基础设施的审计、错误和其他系统消息进行监控,用户可以在一个外部设备上进行统一存储...
ble mesh-Proxy protocol详解(2)
caicai6b6
02-20 2973
举栗子 ble mesh 中存在一类代理节点(proxy node),其作用是通过GATT,将接受到的数据,发送给mesh 网络中,不具备gatt 能力的设备。 例如:天猫精灵需要wifi 配网,需要获取到wifi 网络的账号和密码,这个时候需要用手机app ,通过bt gatt 连接到天猫精灵,发送数据,然后如果mesh 网络中,其他节点需要这个账号和密码信息,天猫精灵可以通过adv转发这些信息...
Citrix NetScaler 负载均衡配置全面指南
"Citrix ADC负载均衡设备的配置手册提供了详细的设备配置流程,涵盖了从环境准备、设备初始化到高级功能的设定,旨在帮助用户有效管理和优化网络流量,确保服务的稳定性和高可用性。" 本手册是针对思杰ADC负载均衡...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值