How to Configure Symfony to Work behind a Load Balancer or a Reverse Proxy

When you deploy your application, you may be behind a load balancer (e.g. an AWS Elastic Load Balancing) or a reverse proxy (e.g. Varnish for caching).

アプリケーションをデプロイするとき、ロード バランサー (AWS Elastic Load Balancing など) またはリバース プロキシ (Varnish forcaching など) の背後にいる可能性があります。

For the most part, this doesn't cause any problems with Symfony. But, when a request passes through a proxy, certain request information is sent using either the standard Forwarded header or X-Forwarded-* headers. For example, instead of reading the REMOTE_ADDR header (which will now be the IP address of your reverse proxy), the user's true IP will be stored in a standard Forwarded: for="..." header or a X-Forwarded-For header.

ほとんどの場合、これによって Symfony に問題が生じることはありません。ただし、リクエストがプロキシを通過するとき、特定のリクエスト情報は、標準の Forwarded ヘッダーまたは X-Forwarded-* ヘッダーのいずれかを使用して送信されます。たとえば、REMOTE_ADDR ヘッダー (リバース プロキシの IP アドレスになります) を読み取る代わりに、ユーザーの実際の IP は標準の Forwarded: for="..." ヘッダーまたは X-Forwarded-For ヘッダーに格納されます。 .

If you don't configure Symfony to look for these headers, you'll get incorrect information about the client's IP address, whether or not the client is connecting via HTTPS, the client's port and the hostname being requested.

これらのヘッダーを検索するように Symfony を構成しない場合、クライアントが HTTPS 経由で接続しているかどうかにかかわらず、クライアントの IP アドレス、クライアントのポート、および要求されているホスト名に関する誤った情報を取得します。

Solution: setTrustedProxies()

To fix this, you need to tell Symfony which reverse proxy IP addresses to trust and what headers your reverse proxy uses to send information:

これを修正するには、信頼するリバース プロキシの IP アドレスと、リバース プロキシが情報を送信するために使用するヘッダーを Symfony に伝える必要があります。
  • YAML
    YAML
  • XML
    XML
  • PHP
    PHP
1
2
3
4
5
6
7
8
9
 
# config/packages/framework.yaml
framework:
    # ...
    # the IP address (or range) of your proxy
    trusted_proxies: '192.0.0.1,10.0.0.0/8'
    # trust *all* "X-Forwarded-*" headers
    trusted_headers: ['x-forwarded-for', 'x-forwarded-host', 'x-forwarded-proto', 'x-forwarded-port', 'x-forwarded-prefix']
    # or, if your proxy instead uses the "Forwarded" header
    trusted_headers: ['forwarded']

Caution

注意

Enabling the Request::HEADER_X_FORWARDED_HOST option exposes the application to HTTP Host header attacks. Make sure the proxy really sends an x-forwarded-host header.

Request::HEADER_X_FORWARDED_HOST オプションを有効にすると、アプリケーションが HTTP ホスト ヘッダー攻撃にさらされます。プロキシが実際に x-forwarded-host ヘッダーを送信していることを確認してください。

The Request object has several Request::HEADER_* constants that control exactly which headers from your reverse proxy are trusted. The argument is a bit field, so you can also pass your own value (e.g. 0b00110).

Request オブジェクトには、リバース プロキシからのどのヘッダーを信頼するかを正確に制御する Request::HEADER_* 定数がいくつかあります。引数はビットフィールドなので、独自の値 (例: 0b00110) を渡すこともできます。

Caution

注意

The "trusted proxies" feature does not work as expected when using the nginx realip module. Disable that module when serving Symfony applications.

thenginx realip モジュールを使用すると、「信頼できるプロキシ」機能が期待どおりに機能しません。 Symfony アプリケーションを提供するときは、そのモジュールを無効にします。

But what if the IP of my Reverse Proxy Changes Constantly!

Some reverse proxies (like AWS Elastic Load Balancing) don't have a static IP address or even a range that you can target with the CIDR notation. In this case, you'll need to - very carefully - trust all proxies.

一部のリバース プロキシ (AWS Elastic Load Balancing など) には、静的 IP アドレスや、CIDR 表記でターゲットにできる範囲さえありません。この場合、非常に慎重に、すべてのプロキシを信頼する必要があります。
  1. Configure your web server(s) to not respond to traffic from any clients other than your load balancers. For AWS, this can be done with security groups.
    ロード バランサー以外のクライアントからのトラフィックに応答しないように Web サーバーを構成します。 AWS の場合、これはセキュリティ グループで実行できます。

  2. Once you've guaranteed that traffic will only come from your trusted reverse proxies, configure Symfony to always trust incoming request:

    トラフィックが信頼できるリバースプロキシからのみ来ることを保証したら、受信リクエストを常に信頼するように Symfony を設定します。
    1
2
3
4
5
6
    		 
    # config/packages/framework.yaml
framework:
    # ...
    # trust *all* requests (the 'REMOTE_ADDR' string is replaced at
    # run time by $_SERVER['REMOTE_ADDR'])
    trusted_proxies: '127.0.0.1,REMOTE_ADDR'

That's it! It's critical that you prevent traffic from all non-trusted sources. If you allow outside traffic, they could "spoof" their true IP address and other information.

それでおしまい!信頼されていないすべてのソースからのトラフィックを防ぐことが重要です。外部トラフィックを許可すると、実際の IP アドレスやその他の情報が「なりすまし」られる可能性があります。

Tip

ヒント

In applications using Symfony Flex you can set the TRUSTED_PROXIES env var:

Symfony Flex を使用するアプリケーションでは、TRUSTED_PROXIES 環境変数を設定できます。
1
2
 
# .env
TRUSTED_PROXIES=127.0.0.1,REMOTE_ADDR
 
1
2
3
4
 
# config/packages/framework.yaml
framework:
    # ...
    trusted_proxies: '%env(TRUSTED_PROXIES)%'

If you are also using a reverse proxy on top of your load balancer (e.g. CloudFront), calling $request->server->get('REMOTE_ADDR') won't be enough, as it will only trust the node sitting directly above your application (in this case your load balancer). You also need to append the IP addresses or ranges of any additional proxy (e.g. CloudFront IP ranges) to the array of trusted proxies.

ロードバランサー (CloudFront など) の上でリバース プロキシも使用している場合、アプリケーションの真上にあるノードのみを信頼するため、$request->server->get('REMOTE_ADDR') を呼び出すだけでは十分ではありません。 (この場合はロード バランサー)。また、追加のプロキシの IP アドレスまたは範囲 (例: CloudFront IP 範囲) を信頼できるプロキシの配列に追加する必要があります。

Custom Headers When Using a Reverse Proxy

Some reverse proxies (like CloudFront with CloudFront-Forwarded-Proto) may force you to use a custom header. For instance you have Custom-Forwarded-Proto instead of X-Forwarded-Proto.

一部のリバース プロキシ (CloudFront-Forwarded-Proto を使用した CloudFront など) では、カスタム ヘッダーの使用が強制される場合があります。たとえば、X-Forwarded-Proto の代わりに Custom-Forwarded-Proto があります。

In this case, you'll need to set the header X-Forwarded-Proto with the value of Custom-Forwarded-Proto early enough in your application, i.e. before handling the request:

この場合、アプリケーションの早い段階でヘッダー X-Forwarded-Proto に値 Custom-Forwarded-Proto を設定する必要があります。つまり、リクエストを事前に処理します。
1
2
3
4
5
6
 
// public/index.php

// ...
$_SERVER['HTTP_X_FORWARDED_PROTO'] = $_SERVER['HTTP_CUSTOM_FORWARDED_PROTO'];
// ...
$response = $kernel->handle($request);