<html><head><meta http-equiv="Content-Type" content="text/html; charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Hi,<div class=""><br class=""></div><div class=""><div class="">No so sure about that. Let's assume the client address is 1.1.1.1. Two possible scenarios:</div><div class=""><br class=""></div></div><blockquote style="margin: 0 0 0 40px; border: none; padding: 0px;" class=""><div class=""><div class="">- The client request reaches the ALB without XFF. The ALB will inject XFF with value 1.1.1.1. Then Varnish will modify XFF adding the ALB's address (i.e., 1.1.1.1,<ALB IP>). Using the next-to-last IP you're using the right client address.</div></div><div class=""><div class=""><br class=""></div></div><div class=""><div class="">- The client request reaches the ALB with a forged XFF (e.g. 127.0.0.1). The ALB will will modify XFF (i.e. 127.0.0.1,1.1.1.1). The Varnish will do the same (i.e. 127.0.0.1,1.1.1.1,<ALB IP>). Using the next-to-last IP you're still using the right client address.</div></div></blockquote><div class=""><div class=""><br class=""></div><div class="">I've not checked using a ALB, but that should be the expected behaviour for me.</div><div class=""><br class=""></div><div class="">Best,</div><div class=""><br class=""></div><div class="">--</div><div class="">Carlos Abalde</div><div><br class=""></div></div></body></html>