[résolu] Deny,Allow CIDR derrière reverse proxy

Message par **kalistyan** » mar. 19 févr. 2013 19:51

• Restreindre l'accès à phpmyadmin :

/etc/phpmyadmin/apache.conf 
  
Order Deny,Allow  
Deny from all  
Allow from vote adresse IP

Message par **jhdscript** » mar. 19 févr. 2013 21:30

Un classik

Message par **kalistyan** » mer. 20 févr. 2013 08:25

Bah carrément, le pense bête m'était destiné. :d

Message par **kalistyan** » mer. 20 févr. 2013 08:51

Euh... Bah flûte! J'ai une coquille.

Si => Allow from 192.168.1.1 le Deny from all est respecté mais si => Allow from 192.168.100.0/24 non!

Une idée du pourquoi ?

Message par **dsebire** » mer. 20 févr. 2013 08:55

c'est pas le order qu'il faut changer, pour prende en compte d'abord allow puis deny ?

Message par **kalistyan** » mer. 20 févr. 2013 09:18

Rien n'y fait :

Code : Tout sélectionner


        Options FollowSymLinks
        DirectoryIndex index.php
        Order deny,allow
        Allow from 192.168.0.0/24
        Deny from all

Message par **dsebire** » mer. 20 févr. 2013 09:32

je parlais de

Order deny,allow

as tu essayé ?

Order allow,deny

Message par **kalistyan** » mer. 20 févr. 2013 10:03

Mauvais copier/coller mais bien testé. Et cela ne change rien. :/

Message par **kalistyan** » mer. 20 févr. 2013 10:09

Le principe est le suivant :
Allow,Deny : L'IP doit être dans un Allow from et ne pas être dans un Deny From pour être autorisée
Deny,Allow : L'IP doit être dans un Deny from et ne pas être dans un Allow From pour être interdite

Message par **dsebire** » mer. 20 févr. 2013 10:12

https://httpd.apache.org/docs/2.0/mod/mod_access.html

donc pour plus de secu:
Order deny,allow
Deny from all
Allow from 192.168.0

d'apres la doc,
Allow from 192.168.0
Allow from 192.168.0.0/24
Allow from 192.168.0.0/255.255.255.0
sont identiques, donc je vois pas pk ça marcherait pas

truc con, pour voir si c'est l'interpretation des subnet qui chie, essaie
allow from 192.168.0.X/32

Message par **kalistyan** » mer. 20 févr. 2013 10:21

Ne fonctionne pas! Y a une coquille ailleurs! S'pas possible.

Message par **yullito** » mer. 20 févr. 2013 10:28

Rien n'y fait :

Code : Tout sélectionner


        Options FollowSymLinks
        DirectoryIndex index.php
        Order deny,allow
        Allow from 192.168.0.0/24
        Deny from all

tu as essayé d'inverser les lignes "Allow from 192.168.0.0/24" et "Deny from all" ??
la doc donne l'exemple inverse de ce que tu as ecrit

Message par **kalistyan** » mer. 20 févr. 2013 10:30

Ai bien testé.

Message par **kalistyan** » mer. 20 févr. 2013 14:31

Même problème sur une autre VM.

Message par **kalistyan** » mer. 20 févr. 2013 15:45

Bon! D'après mon dernier test, cela viendrait du reverse proxy. Je n'ai aucun problème avec une VM en direct.

Message par **Zedoune** » mer. 20 févr. 2013 19:01

ton serveur web il voit toujours la même ip si t'as un reverse proxy

Message par **poulpito** » mer. 20 févr. 2013 19:05

ouai ... logique faut commencer par le debut kali

Message par **Zedoune** » mer. 20 févr. 2013 19:14

selon le reverse proxy, tu peux le régler pour qu'il transfert l'adresse IP du visiteur au serveur qui est derrière

Message par **kalistyan** » jeu. 21 févr. 2013 00:00

ouai ... logique faut commencer par le debut kali

Un [:akane:1] sur ce coup ? :d

selon le reverse proxy, tu peux le régler pour qu'il transfert l'adresse IP du visiteur au serveur qui est derrière

Cela ressemble à ceci :

ProxyPreserveHost Directive

Description: Utilise l'en-tête de requête entrante Host pour la requête du mandataire
Syntaxe: ProxyPreserveHost On|Off
Défaut: ProxyPreserveHost Off
Contexte: configuration du serveur, serveur virtuel
Statut: Extension
Module: mod_proxy
Compatibilité: Disponible depuis la version 2.0.31 d'Apache.
Lorsqu'elle est activée, cette directive va transmettre l'en-tête Host: de la requête entrante vers le serveur mandaté, au lieu du nom d'hôte spécifié par la directive ProxyPass.

Cette directive est habituellement définie à Off. Elle est principalement utile dans les configurations particulières comme l'hébergement virtuel mandaté en masse à base de nom, où l'en-tête Host d'origine doit être évalué par le serveur d'arrière-plan.

Mais cela ne fonctionne pas. :/ Ou alors suis encore hors sujet. :d

Message par **Zedoune** » jeu. 21 févr. 2013 00:20

Regarde les logs quand tu accède à un phpmyadmin

tu verras si c'est le ip du proxy ou la tienne

Message par **kalistyan** » jeu. 21 févr. 2013 03:19

IP local du reverse proxy.

Edit : p'être une piste avec "X-FORWARDED-FOR" ici

Message par **Zedoune** » jeu. 21 févr. 2013 11:52

Je te conseille nginx en reverse proxy, c'est hyper pratique et hyper simple à mettre en place. En production je n'utilise plus Apache au boulot. On est passé sous Lighttpd avec quelques nginx par-ci par-là, mais je case lighttpd où je peux. Je garde juste nginx pour faire uniquement reverse-proxy, car pour déclarer les noms de domaines à relayer, c'est très facile ^^

Message par **kalistyan** » jeu. 21 févr. 2013 15:17

Me souviens, tu en a parlé à plusieurs reprises... Ne trouvant pas la commande pour Apache.

Je vais tester.

Message par **kalistyan** » jeu. 21 févr. 2013 15:57

D'une simplicité déconcertante.

Testé et approuvé.

Message par **Zedoune** » jeu. 21 févr. 2013 16:33

D'une simplicité déconcertante. Testé et approuvé.

Quand tu vois nginx, t'as plus envie d'utiliser Apache [:tinostar]