Protezione dell'apache tramite IP con .htaccess

0

Ho una cartella che non desidero essere accessibile dall'esterno della LAN della mia rete. Sembra che tutto il traffico proveniente dal mondo esterno attraversi il mio firewall (192.168.1.39). Così ho fatto il mio .htaccess come segue:

Order Allow,Deny
Allow from all
Deny from 192.168.1.39

Il mio pensiero è che consente tutto il traffico, ad eccezione del traffico che viene reindirizzato dal mio firewall: vale a dire tutto il traffico esterno.

C'è qualcosa che mi manca? Qualsiasi modo per un hacker di bypassare il firewall per arrivare direttamente al server? Qualche modo di usare lo spoofing IP per aggirare il .htaccess? etc?

EDIT: non posso consentire dalla LAN locale una subnet o un dominio, perché il traffico esterno sembra provenire dalla LAN locale. Viene reindirizzato dal mio firewall, un forager all'interno della rete.

    
posta Shane 14.07.2014 - 22:43
fonte

3 risposte

2

Devi consentire specificamente l'indirizzo (i) IP a cui è consentito accedere alla risorsa e negare tutto il resto.

order deny,allow
deny from all
allow from [your ip address] OR Allow from 10.0.0.0/24

A seconda della configurazione di rete, le richieste al server da Internet possono includere indirizzi IP pubblici. In genere, i router forniscono NAT dalla rete LAN alla rete WAN, non viceversa.

    
risposta data 15.07.2014 - 07:20
fonte
0

Puoi dare Allow da un dominio se vuoi dare accesso alla rete locale. Quindi puoi controllare le macchine nel dominio.

<Directory /> 
    Order deny,allow
    Deny from all
    Allow from local.example.com
</Directory>

In ogni caso consentire a tutti e negare 192.168.1.39 è una cattiva idea poiché la lista nera non è molto sicura.

risposta data 15.07.2014 - 07:57
fonte
0

Il mio primo ordine del giorno sarebbe bloccare il traffico proveniente dall'interfaccia esterna / non sicura del firewall con un indirizzo / porta di destinazione corrispondente al server web. Questo è il punto di avere un firewall.

Quando si tratta del tuo server web eviterei di usare un file .htaccess a meno che tu non controlli il server e debba fare affidamento sui controlli a livello di utente. Il tuo post mi fa pensare che hai il controllo completo del tuo server e puoi modificare http.conf e apportare le modifiche lì. Sebbene sia possibile utilizzare le direttive Nega / Consenti per limitare l'accesso, è consigliabile prendere in considerazione la possibilità di limitare il socket di ascolto e l'host virtuale a un indirizzo IP interno prima di adottare l'approccio black / whitelist.

Se controlli il tuo server ti consiglio anche di disabilitare completamente l'uso di .htaccess impostando "AllowOverride None" nella configurazione di Apache. Ci sono due ragioni per questo, il primo htaccess causa un impatto sulle prestazioni sul tuo server, in secondo luogo lascia un'enorme superficie di attacco per gli hacker. Ho creato un progetto che illustra perché i file .htaccess devono essere disabilitati da una prospettiva di sicurezza: link

    
risposta data 30.09.2014 - 01:46
fonte

Leggi altre domande sui tag