Traefik: Echte Client-IP hinter Cloudflare anzeigen

Wenn man Traefik als Reverse Proxy / Load Balancer für eigene Apps nutzt, sich aber selbst hinter einem konfigurierten Cloudflare Proxy befindet, wird standardmäßig nicht die richtige IP-Adresse in den Zugriffsprotokollen angezeigt. Dies kann einfach angepasst werden.

Dazu müssen wir die IP-Bereiche der Cloudflare-Proxies als vertrauenswürdige IPs in Traefik konfigurieren.

Die dazu notwendigen Informationen beziehen wir aus zwei Quellen:

• Traefik Dokumentation zu Forwarded Headern.
• Liste der von Cloudflare verwendeten IP-Bereiche.

In Traefik kann jeder EntryPoint, also der Port der für das Routing des eingehenden Traffics (ingress) verwendet wird, für eine eigene Liste vertrauenswürdiger IPs konfiguriert werden.

In einem Beispiel werden die oben genannten Quellen in einer Anpassung der Datei traefik.yaml zusammengefasst:

entryPoints:
  # ...
  websecure:
    address: ":443"
    forwardedHeaders:
      trustedIPs:
        - "173.245.48.0/20"
        - "103.21.244.0/22"
        - "103.22.200.0/22"
        - "103.31.4.0/22"
        - "141.101.64.0/18"
        - "108.162.192.0/18"
        - "190.93.240.0/20"
        - "188.114.96.0/20"
        - "197.234.240.0/22"
        - "198.41.128.0/17"
        - "162.158.0.0/15"
        - "104.16.0.0/13"
        - "104.24.0.0/14"
        - "172.64.0.0/13"
        - "131.0.72.0/22"
        - "2400:cb00::/32"
        - "2606:4700::/32"
        - "2803:f800::/32"
        - "2405:b500::/32"
        - "2405:8100::/32"
        - "2a06:98c0::/29"
        - "2c0f:f248::/32"

Der Name des EntryPoints kann hierbei abweichen, schaut nach der entpsrechend passenden address-Konfiguration.

Je nach Konfiguration kann ein Neustart von Traefik erforderlich sein.