Summary

• Nginx: Change X-Forwarded-For from $remote_addr to $proxy_add_x_forwarded_for to preserve the CloudFront→ALB IP chain instead of overwriting it with ALB's internal IP
• Runner: Set TrustedProxies to RFC 1918 ranges so c.ClientIP() correctly extracts the first non-private IP from the X-Forwarded-For chain
• Runner: Remove meaningless X-Forwarded-Port (Nginx's $server_port = 8080) from audit log remote field, log IP only

Test plan

• docker build --target test runner/ passes with 100% coverage
• Nginx config test passes via pre-commit hook
• After deploy, verify remote= in audit logs shows client global IP instead of 10.x.x.x:8080

🤖 Generated with Claude Code

Summary by CodeRabbit

リリースノート

• 改善
  • プロキシされたリクエストにおけるクライアントIP検出の精度を向上させました。複数のプロキシを経由するリクエストに対して、より正確なIPアドレスの追跡が可能になります。
  • 特定のプライベートネットワーク範囲からのプロキシを信頼できるものとして認識するよう設定を更新しました。
  • 監査ログの記録形式を簡潔にしました。