mod_rpaf （Reverse Proxy Add Forward）是 Apache 2.2 及更低版本中一个很有用的第三方模块，主要用于后端 Web Server ，可以将请求的 remote ip 重写为指定的字段（例如 X-Forwarded-For 或者 X-Real-IP ）。很多网站目前都采用 nginx + Apache 的组合，这个模块可以使得转发对应用透明，应用按照普通方法即可获取到真实 IP ，不用修改代码来读取指定的 HTTP Header 。更优秀的是，这个模块对日志也是同样有用的—— access/error log 中记录的 IP 地址也会被修改为真实的 IP 。另外这个模块的自定义功能也很强大，可以任意指定使用哪一个 HTTP Header 字段、接受哪些前端转发 IP 等等。

然而正因为其强大，使得用户想当然地认为它在所有地方都有效，不曾想在 Apache 的访问控制（allow/deny 指令）中，该模块无效，访客 IP 仍旧是前端转发服务器的 IP ！这个行为没有在文档中明确说明。我因此差点弄出了一个严重的安全问题——为了监控服务器我开启了 server-status ，本想都允许网关服务器访问以便在一个地方统一收集数据，就写了类似 allow from gate 这样的东西，结果 server-status 就一下子“门户大开”，所有人都可以看到了（因为都是经过前端网关代理的）。这个“问题”对 mod_rpaf 而言没有解决方案（除非修改代码）。另一个类似功能的模块 mod_remoteip （Apache 2.4 自带，有 backport 到 2.2 的版本）可以使得 allow/deny 能够使用真实 IP 。