designetwork

ネットワークを軸としたIT技術メモ

Cisco ASAでX-Forwarded-Forヘッダを付けてNAPT環境ユーザアドレスを識別したい

f:id:daichi703n:20160718160224j:plain

Proxy環境、NAPT環境でのHTTP通信で重要になるX-Forwarded-For (XFF) ヘッダ。NAPTルータとして使用されることが多いCisco ASAでXFFヘッダの付与について記載する。

確認結果

2016年7月時点ではCisco ASAではX-Forwarded-Forヘッダを付与することはできない

こちらでディスカッションされている通り、現状はXFFヘッダ付加できない。やはりCiscoとしてはHTTPは専門分野から外れているのだろう。

www.experts-exchange.com

不具合情報

逆にASAでXFFヘッダを除去してしまうバグ・不具合があるようなので、該当バージョンを要チェック。

https://supportforums.cisco.com/discussion/11262991/cisco-asa-and-x-forwarded-header

代替手段

HTTPトラフィックをルーティングする場合は専門のHTTP-Proxyサーバなどを使用するのが適切だろう。NW機器で言うとF5 BIG-IPなどはオプションでX-Forwarded-Forを付与することができる。