Forum général.général htaccess bloquer une plage mais ouvrir une ip

• # systeme de la passoire

  Posté par NeoX le 11 juillet 2017 à 07:51. Évalué à 4. Dernière modification le 11 juillet 2017 à 07:53.

  

  les regles sont evaluées dans l'ordre, du haut en bas et la premiere qui matche est appliquée

  Order Allow,Deny

  c'est un choix, mais tu dis d'autoriser TOUT le MONDE des la premiere regle

  Allow from all ## ici tu autorises tout le monde
  […]
  #autorise mon serveur
  Allow from 149.202.XX.XXX
  #bloque ovh
  Deny from 149.202.0.0/16

  du coup le reste est sans effet

  dans ton cas je ferais l'inverse,

  Order Deny, Allow
  deny from demi-range OVH #avant l'IP que tu veux autoriser
  deny from demi-range OVH # apres l'IP que tu veux autoriser
  allow from all # autoriser le reste du monde

  et s'il n'y a que l'IP speciale qui doit pouvoir acceder (via le VPN que tu montes sur l'autre sujet,

  Order Allow,Deny
  Allow from IP-specifique qui doit y acceder
  Deny from all

  • [^] # Re: systeme de la passoire

    Posté par gotcha5832 le 11 juillet 2017 à 08:44. Évalué à 1.

    

    comment calculer une demi-plage?

  • [^] # Re: systeme de la passoire

    Posté par gotcha5832 le 11 juillet 2017 à 12:40. Évalué à 1.

    

    Puis je faire?

    Si mon ip est 149.202.99.99
    est ce que je peux faire

    Order Deny, Allow
    Deny from 149.202.[0-98].0/24 # block de Deny from 149.202.0.0 à Deny from 149.202.98.255
    Deny from 149.202.99.[0-98] # block de 149.202.99.0 à Deny from 149.202.99.98
    Deny from 149.202.99.[100-255] # block de 149.202.99.100 à Deny from 149.202.99.255
    Deny from 149.202.[100-255].0/24 # block de 149.202.100.0 à Deny from 149.202.255.255
    allow from all # autoriser le reste du monde
    
    

    Je vous demande toute votre indulgeance car j'ai aucun formation réseau

    • [^] # Re: systeme de la passoire

      Posté par NeoX le 11 juillet 2017 à 22:53. Évalué à 3.

      

      aller lire la documentation apache t'en apprendra plus sur les syntaxes autorisées et donc sur ce que tu peux faire pour approcher de ce que tu veux,
      et donc s'il faut lister ou non les IPs individuelles.

      sinon tu peux faire par les sous reseaux approchant (merci l'outil ipcalc)
      149.202.0.0 -> 149.202.63.255 = 149.202.0.0/18
      149.202.64.0 -> 149.202.95.255 = 149.202.64.0/19
      149.202.96.0 -> 149.202.97.255 = 149.202.96.0/23
      149.202.97.0 -> 149.202.97.255 = 149.202.97.0/24

    • [^] # Re: systeme de la passoire

      Posté par -=[ silmaril ]=- (site web personnel) le 12 juillet 2017 à 12:01. Évalué à 1.

      

      Tu as deux options:

      • Allow,Deny

      On commence par ouvrir au maximum, et ensuite on referme un peu, cas d'usage typique: blacklister une ou plusieurs ip/network

      Dans ton exemple il faudrait donc faire un truc comme ça:

      Order Allow,Deny
      Allow from all

      Exclure toutes les IP de 149.202.0.0/16 "autour" de 149.202.99.99

      Deny from 149.202.0.0/18
      Deny from 149.202.64.0/19
      Deny from 149.202.96.0/23
      Deny from 149.202.98.0/24
      Deny from 149.202.99.0/26
      Deny from 149.202.99.64/27
      Deny from 149.202.99.96
      Deny from 149.202.99.97
      Deny from 149.202.99.100/30
      Deny from 149.202.99.104/29
      Deny from 149.202.99.112/28
      Deny from 149.202.100.0/22
      Deny from 149.202.104.0/21
      Deny from 149.202.112.0/20
      Deny from 149.202.128.0/17

      • Deny,Allow

      La on part en général d'une porte fermée pour laquelle on veut entre-ouvrir quelques adresses.

      Dans ton exemple:

      Order Deny,Allow
      Deny from 149.202.0.0/16
      Allow from 149.202.99.99

      c'est un peu plus simple :D

  • [^] # Re: systeme de la passoire

    Posté par -=[ silmaril ]=- (site web personnel) le 12 juillet 2017 à 11:56. Évalué à 2.

    

    Le order allow,deny n'est pas le problème ici, c'est la compréhension du fonctionnement.

    Order Deny, Allow
    deny from demi-range OVH #avant l'IP que tu veux autoriser
    deny from demi-range OVH # apres l'IP que tu veux autoriser
    allow from all # autoriser le reste du monde

    Cette solution ne marchera pas mieux:

    Toutes les directives Deny sont évaluées en premier ; si l'une au moins convient, le requête est rejetée, sauf si une directive Allow convient aussi. Enfin, toute requête à laquelle ne convient aucune directive Allow ou Deny aura l'autorisation d'accès par défaut.

    Donc en gros le deny,allow avec un "allow all" est l'équivalent d'une porte grande ouverte.

    Order Allow,Deny
    Allow from IP-specifique qui doit y acceder
    Deny from all

    Meme motif, punition inverse:

    Toutes les directives Allow sont évaluées en premier ; l'une d'elles au moins doit convenir, faute de quoi la requête sera rejetée. Vient ensuite le tour des directives Deny. Si l'une au moins convient, le requête est rejetée.

    => du coup la c'est une porte fermée pour tout le monde

• # Version apache

  Posté par Lol Zimmerli (site web personnel, Mastodon) le 11 juillet 2017 à 10:55. Évalué à 5.

  

  Ajoutons encore qu'on a ici les directives pour apache 2.2 (Allow, Deny, Order).

  Avec la version 2.4 on aurait plus que des 'Require'

  Voir https://httpd.apache.org/docs/2.4/fr/howto/access.html

  La gelée de coings est une chose à ne pas avaler de travers.

  • [^] # Re: Version apache

    Posté par gotcha5832 le 11 juillet 2017 à 11:30. Évalué à 2.

    

    J'ai oublié de préciser que c'est un apache 2.2

    • [^] # Re: Version apache

      Posté par Lol Zimmerli (site web personnel, Mastodon) le 11 juillet 2017 à 11:40. Évalué à 6.

      

      Pas de souci mais j'ai ajouté ça pour aider d'autres personnes qui tomberont ici plus tard :)

      La gelée de coings est une chose à ne pas avaler de travers.

• # e

  Posté par tkr le 12 juillet 2017 à 18:23. Évalué à 1.

  

  je peux comprendre que certains férus de réseau aient une dent contre OVH, qui recense un pourcentage élevé d'éventuels spams et autres activités douteuses dans l'hexagone (ovh n'est pas leader de l'internet occulte mondial) mais il reste indécent d'oublier que des milliers de petites pme, organisations et associations utilisent les services OVH et seraient donc amenés à etre bloqués, par exemple pour accéder à un prochain site web, etc…

  ya que moi que ça choque?

  • [^] # Re: e

    Posté par NeoX le 12 juillet 2017 à 18:47. Évalué à 2.

    

    son site est peut-etre un "intranet" qu'il ne souhaite rendre accessible qu'à ses machines, qui arrivent par le VPN (qu'il essaie de monter sur un autre post)

    mais là du coup, je dirais que ce serait mieux de bloquer cela avec le firewall :p

  • [^] # Re: e

    Posté par gotcha5832 le 14 juillet 2017 à 05:59. Évalué à 2.

    

    @tkr

    qu'entends tu par:

    des milliers de petites pme, organisations et associations utilisent les services OVH

    utilise leur service pour? se connecter à internet? tu veux dire de milliers d'association qui on monté un vpn pour se connecter sur le web?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.