Forum général.général htaccess bloquer une plage mais ouvrir une ip

Posté par  . Licence CC By‑SA.
Étiquettes :
3
11
juil.
2017

Bonjour à tous.

Je souhaite dans un htaccess bloquer toute une plage d'ip (celle d'ovh) mais ouvrir pour une ip spécifique

J'ai mis

Order Allow,Deny
Allow from all
[…]
#autorise mon serveur
Allow from 149.202.XX.XXX

#bloque ovh
Deny from 149.202.0.0/16

Mais ca ne fonctionne pas je ne comprends pas?
L'order est respecté?

  • # systeme de la passoire

    Posté par  . Évalué à 4. Dernière modification le 11/07/17 à 07:53.

    les regles sont evaluées dans l'ordre, du haut en bas et la premiere qui matche est appliquée

    Order Allow,Deny

    c'est un choix, mais tu dis d'autoriser TOUT le MONDE des la premiere regle

    Allow from all ## ici tu autorises tout le monde
    []
    #autorise mon serveur
    Allow from 149.202.XX.XXX
    #bloque ovh
    Deny from 149.202.0.0/16

    du coup le reste est sans effet

    dans ton cas je ferais l'inverse,

    Order Deny, Allow
    deny from demi-range OVH #avant l'IP que tu veux autoriser
    deny from demi-range OVH # apres l'IP que tu veux autoriser
    allow from all # autoriser le reste du monde

    et s'il n'y a que l'IP speciale qui doit pouvoir acceder (via le VPN que tu montes sur l'autre sujet,

    Order Allow,Deny
    Allow from IP-specifique qui doit y acceder
    Deny from all
    • [^] # Re: systeme de la passoire

      Posté par  . Évalué à 1.

      comment calculer une demi-plage?

    • [^] # Re: systeme de la passoire

      Posté par  . Évalué à 1.

      Puis je faire?

      Si mon ip est 149.202.99.99
      est ce que je peux faire

      Order Deny, Allow
      Deny from 149.202.[0-98].0/24 # block de Deny from 149.202.0.0 à Deny from 149.202.98.255
      Deny from 149.202.99.[0-98] # block de 149.202.99.0 à Deny from 149.202.99.98
      Deny from 149.202.99.[100-255] # block de 149.202.99.100 à Deny from 149.202.99.255
      Deny from 149.202.[100-255].0/24 # block de 149.202.100.0 à Deny from 149.202.255.255
      allow from all # autoriser le reste du monde
      
      

      Je vous demande toute votre indulgeance car j'ai aucun formation réseau

      • [^] # Re: systeme de la passoire

        Posté par  . Évalué à 3.

        aller lire la documentation apache t'en apprendra plus sur les syntaxes autorisées et donc sur ce que tu peux faire pour approcher de ce que tu veux,
        et donc s'il faut lister ou non les IPs individuelles.

        sinon tu peux faire par les sous reseaux approchant (merci l'outil ipcalc)
        149.202.0.0 -> 149.202.63.255 = 149.202.0.0/18
        149.202.64.0 -> 149.202.95.255 = 149.202.64.0/19
        149.202.96.0 -> 149.202.97.255 = 149.202.96.0/23
        149.202.97.0 -> 149.202.97.255 = 149.202.97.0/24

      • [^] # Re: systeme de la passoire

        Posté par  (site Web personnel) . Évalué à 1.

        Tu as deux options:

        • Allow,Deny

        On commence par ouvrir au maximum, et ensuite on referme un peu, cas d'usage typique: blacklister une ou plusieurs ip/network

        Dans ton exemple il faudrait donc faire un truc comme ça:

        Order Allow,Deny
        Allow from all

        Exclure toutes les IP de 149.202.0.0/16 "autour" de 149.202.99.99

        Deny from 149.202.0.0/18
        Deny from 149.202.64.0/19
        Deny from 149.202.96.0/23
        Deny from 149.202.98.0/24
        Deny from 149.202.99.0/26
        Deny from 149.202.99.64/27
        Deny from 149.202.99.96
        Deny from 149.202.99.97
        Deny from 149.202.99.100/30
        Deny from 149.202.99.104/29
        Deny from 149.202.99.112/28
        Deny from 149.202.100.0/22
        Deny from 149.202.104.0/21
        Deny from 149.202.112.0/20
        Deny from 149.202.128.0/17

        • Deny,Allow

        La on part en général d'une porte fermée pour laquelle on veut entre-ouvrir quelques adresses.

        Dans ton exemple:

        Order Deny,Allow
        Deny from 149.202.0.0/16
        Allow from 149.202.99.99

        c'est un peu plus simple :D

    • [^] # Re: systeme de la passoire

      Posté par  (site Web personnel) . Évalué à 2.

      Le order allow,deny n'est pas le problème ici, c'est la compréhension du fonctionnement.

      Order Deny, Allow
      deny from demi-range OVH #avant l'IP que tu veux autoriser
      deny from demi-range OVH # apres l'IP que tu veux autoriser
      allow from all # autoriser le reste du monde

      Cette solution ne marchera pas mieux:

      Toutes les directives Deny sont évaluées en premier ; si l'une au moins convient, le requête est rejetée, sauf si une directive Allow convient aussi. Enfin, toute requête à laquelle ne convient aucune directive Allow ou Deny aura l'autorisation d'accès par défaut.

      Donc en gros le deny,allow avec un "allow all" est l'équivalent d'une porte grande ouverte.

      Order Allow,Deny
      Allow from IP-specifique qui doit y acceder
      Deny from all

      Meme motif, punition inverse:

      Toutes les directives Allow sont évaluées en premier ; l'une d'elles au moins doit convenir, faute de quoi la requête sera rejetée. Vient ensuite le tour des directives Deny. Si l'une au moins convient, le requête est rejetée.

      => du coup la c'est une porte fermée pour tout le monde

  • # Version apache

    Posté par  (site Web personnel) . Évalué à 5.

    Ajoutons encore qu'on a ici les directives pour apache 2.2 (Allow, Deny, Order).

    Avec la version 2.4 on aurait plus que des 'Require'

    Voir https://httpd.apache.org/docs/2.4/fr/howto/access.html

    La gelée de coings est une chose à ne pas avaler de travers.

  • # e

    Posté par  . Évalué à 1.

    je peux comprendre que certains férus de réseau aient une dent contre OVH, qui recense un pourcentage élevé d'éventuels spams et autres activités douteuses dans l'hexagone (ovh n'est pas leader de l'internet occulte mondial) mais il reste indécent d'oublier que des milliers de petites pme, organisations et associations utilisent les services OVH et seraient donc amenés à etre bloqués, par exemple pour accéder à un prochain site web, etc…

    ya que moi que ça choque?

    • [^] # Re: e

      Posté par  . Évalué à 2.

      son site est peut-etre un "intranet" qu'il ne souhaite rendre accessible qu'à ses machines, qui arrivent par le VPN (qu'il essaie de monter sur un autre post)

      mais là du coup, je dirais que ce serait mieux de bloquer cela avec le firewall :p

    • [^] # Re: e

      Posté par  . Évalué à 2.

      @tkr

      qu'entends tu par:

      des milliers de petites pme, organisations et associations utilisent les services OVH

      utilise leur service pour? se connecter à internet? tu veux dire de milliers d'association qui on monté un vpn pour se connecter sur le web?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.