[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

Je ne comprends pas la complexité des propositions précédentes.

Simplement:
Tu pointes ton vhost default vers une page de ton choix (blanche ou avec script de redirection ou redirect apache dans le vhost).
Dans tous les cas les autres vhosts avec domaines pointent vers des repertoires (avec cgi ou autre).

Si quelqu'un vient get / sur IP sans précédence domaine il aura la page par défaut de ton choix.
Si quelqu'un vient get / sur IP avec précédence il sera envoyé vers le repertoire du vhost domaine qui va lui charger le bon site.

Fail2ban les IP sources qui viennent sur ton serveur est une très mauvaise idée.
Si iptables vient à missmatch sur le domaine réclamé il va ban le visiteur ou +, car avec les réseaux NATés tu risques de bannir plusieurs centaines de clients en trafic (réseaux mobiles par exemple)

Maxime.


12 février 2020 15:01 "G2PC" <g2pc@visionduweb.com> a écrit:

>> Remplace ta page html par une page php et envois l'adresse IP à fail2ban.
> 
> Intéressant, je n'avais pas pensé à coupler PHP pour relever les IP et
> travailler avec Fail2ban.
> Je vais y penser, voir si cela peut être fait ainsi.
> Enfin, j'aurais préféré que Fail2ban récupère les erreurs dans les logs,
> dès lors ou une demande sur le vhost à l'écoute de l'ip se fait rejetée.
> C'est déjà le cas actuellement avec la règle apache-auth !
> J'ai voulu paramétrer ma propre règle, pour surcharger les paramètres,
> mais, ma règle ne semble pas travailler, c'était la le problème.
> 
>> Je trouve toutefois cette demande très curieuse d'autant que
>> visionduweb.com est redirigé vers l'accueil visionduweb.fr, alors
>> pourquoi ne pas adopter le même comportement pour un accès via IP ...
> 
> Comme je le disais, j'ai plusieurs domaines, donc, il faudrait alors
> définir un site principale, hors, peut être que je ne souhaite pas
> définir un site principale.
> Quelques lectures m'ont laissées penser que ce n'était pas forcément si
> judicieux et qu'il serrait intéressant de verrouiller la consultation
> lorsque c'est l'adresse IP qui est saisie.
> 
> J'utilisais bien une redirection il y a peu, de l'ip:80 vers le site
> principale, mais, la redirection de l'ip:443 vers le site principale ne
> fonctionne pas et je n'ai pas trouvé comment faire.
> Dès lors, je me suis dis qu'il serait peut être plus judicieux de
> verrouiller la consultation sur le navigateur, pour l'ip:80
Reply to: