<div dir="ltr"><div>Morning Suricata peeps,</div><div><br></div><div>We're having an issue where we cant get our proxy to give us X-Forwarded for, but it'll give Client-ip. It looks like I can mod the Header: X-Forwarded-For field to Header: Client-ip and all should work well, but it's not. First - Am I making a bad assumption that this is supported? Second - help! :-) 

<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:small;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">See examples below - </span>

</div><div><br></div><div>Mike</div><div><br></div><div><br></div><div><b>tcpdump of relevant part of HTTP packet</b></div><div>User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36.</div><div>Accept: image/webp,image/apng,image/*,*/*;q=0.8.</div><div>DNT: 1.</div><div>Referer: <a href="http://golfweek.com/">http://golfweek.com/</a>.</div><div>Accept-Encoding: gzip, deflate.</div><div>Accept-Language: en-US,en;q=0.9.</div><div><b>Client-ip: 10.25.8.9.</b></div><div>Via: 1.1 localhost.localdomain .</div><div>Host: <a href="http://dt.adsafeprotected.com">dt.adsafeprotected.com</a>.</div><div><br></div><div><b>We've modified the suricata.yaml as follows</b></div><div><div>            xff:</div><div>              enabled: yes</div><div>              # Two operation modes are available, "extra-data" and "overwrite".</div><div>              mode: overwrite</div><div>              # Two proxy deployments are supported, "reverse" and "forward". In</div><div>              # a "reverse" deployment the IP address used is the last one, in a</div><div>              # "forward" deployment the first IP address is used.</div><div>              deployment: forward</div><div>              # Header name where the actual IP address will be reported, if more</div><div>              # than one IP address is present, the last IP address will be the</div><div>              # one taken into consideration.</div><div>              header: Client-ip</div></div><div><br></div><div><br></div></div>