Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

To: G2PC <g2pc@visionduweb.com>
Cc: debian-user-french@lists.debian.org
Subject: Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?
From: maxime@mxgo.fr
Date: Thu, 13 Feb 2020 17:54:44 +0100
Message-id: <[🔎] 20200213165455.EEAC120432@bendel.debian.org>

Une requête sur IP:443 doit renvoyer sur un default vhost qui porte un certificat.

Ce même certificat est soit autosigné soit signé, dans tous les cas il ne matchera jamais avec l'IP, ce qui provoquera une erreur dans le navigateur.

Si il y a contournement de l'erreur, il chargera le site default.


Le fonctionnement est le même avec nginx.

Le fonctionnement de fail2ban comme décrit me semble plus bloquant qu'autre chose, sauf si le service est sensible et réglementé.

Mais rassures-toi il y a pire 😁
Le 13 févr. 2020 14:28, G2PC <g2pc@visionduweb.com> a écrit :
>
>
> > Si quelqu'un vient get / sur IP sans précédence domaine il aura la page par défaut de ton choix. 
>
> C'est le cas, j'avais déjà une redirection vers mon site principale, 
> mais, comme je disais, elle ne fonctionnait que pour le protocole 80, 
> et, pas en 443, et, si je tentais d'utiliser IP:443 alors j'arrivais sur 
> un autre de mes sites. 
> Redirection normale IP:80 -> visionduweb.fr 
> Redirection anormale IP:443 -> ethernium.fun ( et consultation de 
> visionduweb.fr rendue il me semble impossible. ) 
>
> Ce ce fait, j'ai opté pour bloquer la consultation en IP:80 depuis un 
> navigateur, pour ne pas entrer dans un schema ou, si IP:80 est 
> consultable, IP:443 le serait aussi, puisque ce n'est pas le cas. 
> J'ai donc créé une redirection 403 en cas de consultation IP:80 et la 
> règle de fail2ban apache-auth bloque le client après 3 échecs. 
>
> > Si quelqu'un vient get / sur IP avec précédence il sera envoyé vers le repertoire du vhost domaine qui va lui charger le bon site. 
> > 
> > Fail2ban les IP sources qui viennent sur ton serveur est une très mauvaise idée. 
> > Si iptables vient à missmatch sur le domaine réclamé il va ban le visiteur ou +, car avec les réseaux NATés tu risques de bannir plusieurs centaines de clients en trafic (réseaux mobiles par exemple) 
> Oui mais normalement, seul les clients qui créent des erreurs sont ban, 
> et, les clients ne devraient pas finir en 403, 3 fois de suite, 
> Tout comme, les clients ne devraient pas avoir à consulter les pages de 
> login pour l'administration, 
>
> Donc, normalement, les clients ban le sont car ils ont tenté une action 
> interdite par l'admin. 
>
>
> Concrètement, j'ai pu avancer un peu avec fail2ban et mettre en place de 
> nouvelles règles complémentaires. 
> Je n'ai toujours pas réussi à faire fonctionner ma propre règle qui me 
> permet de ban tout ce qui arrive sur IP:80 , je suppose que c'est la 
> regex qui ne correspond pas, ou que la regex existe déjà dans 
> apache-auth et fait double emploi. 
>
> Concrètement, j'ai encore cette problématique de IP:80 qui fonctionne à 
> la consultation, mais, IP:443 qui me renvoie vers un autre de mes sites, 
> et, je ne vois pas comment aborder l'identification de ce problème la. 
>
>
>

Reply to:

Prev by Date: Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?
Next by Date: Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?
Previous by thread: Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?
Next by thread: Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?
Index(es):
- Date
- Thread