<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
        {page:WordSection1;}
--></style></head><body lang=PT link=blue vlink="#954F72"><div class=WordSection1><p class=MsoNormal>Hey,</p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>What o you mean with “should work well but it is not”? You have the XFF in <span lang=EN-US>overwrite mode, o it should change the source address of the http request in the logging and only in the logging. Is it this that isn't properly working?<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Cheers,<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>Duarte<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div style='mso-element:para-border-div;border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal style='border:none;padding:0cm'><b>De: </b><a href="mailto:msnriggs@gmail.com">Michael Riggs</a><br><b>Enviado: </b>30 de março de 2018 15:37<br><b>Para: </b><a href="mailto:oisf-users@lists.openinfosecfoundation.org">oisf-users@lists.openinfosecfoundation.org</a><br><b>Assunto: </b>[Oisf-users] XFF and alternate HTTP IP header with a proxy</p></div><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal>Morning Suricata peeps,</p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>We're having an issue where we cant get our proxy to give us X-Forwarded for, but it'll give Client-ip. It looks like I can mod the Header: X-Forwarded-For field to Header: Client-ip and all should work well, but it's not. First - Am I making a bad assumption that this is supported? Second - help! :-)  <span style='font-size:12.0pt;font-family:"Arial",sans-serif;color:#222222;background:white'>See examples below - </span> </p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Mike</p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><b>tcpdump of relevant part of HTTP packet</b></p></div><div><p class=MsoNormal>User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36.</p></div><div><p class=MsoNormal>Accept: image/webp,image/apng,image/*,*/*;q=0.8.</p></div><div><p class=MsoNormal>DNT: 1.</p></div><div><p class=MsoNormal>Referer: <a href="http://golfweek.com/">http://golfweek.com/</a>.</p></div><div><p class=MsoNormal>Accept-Encoding: gzip, deflate.</p></div><div><p class=MsoNormal>Accept-Language: en-US,en;q=0.9.</p></div><div><p class=MsoNormal><b>Client-ip: 10.25.8.9.</b></p></div><div><p class=MsoNormal>Via: 1.1 localhost.localdomain .</p></div><div><p class=MsoNormal>Host: <a href="http://dt.adsafeprotected.com">dt.adsafeprotected.com</a>.</p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><b>We've modified the suricata.yaml as follows</b></p></div><div><div><p class=MsoNormal>            xff:</p></div><div><p class=MsoNormal>              enabled: yes</p></div><div><p class=MsoNormal>              # Two operation modes are available, "extra-data" and "overwrite".</p></div><div><p class=MsoNormal>              mode: overwrite</p></div><div><p class=MsoNormal>              # Two proxy deployments are supported, "reverse" and "forward". In</p></div><div><p class=MsoNormal>              # a "reverse" deployment the IP address used is the last one, in a</p></div><div><p class=MsoNormal>              # "forward" deployment the first IP address is used.</p></div><div><p class=MsoNormal>              deployment: forward</p></div><div><p class=MsoNormal>              # Header name where the actual IP address will be reported, if more</p></div><div><p class=MsoNormal>              # than one IP address is present, the last IP address will be the</p></div><div><p class=MsoNormal>              # one taken into consideration.</p></div><div><p class=MsoNormal>              header: Client-ip</p></div></div><div><p class=MsoNormal><o:p> </o:p></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>