セキュリティの観点と導入が簡易に出来ると言う事からWAFを導入する機会が増えてきている。
特に管理画面等をIPアドレスで絞った場合に起こりうる事だが、サーバー変数をREMOTE_ADDRから取っていると

111.222.333.444, 123.456.789.120

と言った形で前がアクセス元のアドレス、後ろがWAFのアドレスとして付与されている事が見受けられる。
それもWAFがゾーンでの指定の場合、固定ではなく変動するので一意にし難い。
$_SERVER変数を見てアクセスするIPアドレス「のみ」が入っている変数がどれかと言う事をアプリケーション側で確認し変える必要がある。
今回自分がハマった時には

$_SERVER['HTTP_INCAP_CLIENT_IP']

と言う変数がそれに該当し、変更を行った。
シングル構成や単純な構成であれば、あまりここは気にしなくても良いが大きなシステムになると
「クライアントの接続元はREMOTE_ADDRだから」と言う固定概念に囚われてハマる事もある。

灯台下暗しって事とWAFは今後も導入が増えるのでメモ。