Re: filtrer sur l'adresse IP sur un service

Top Page

Reply to this message
Author: YP
Date:  
To: Jean-Philippe Granchi
CC: ML Guilde
Subject: Re: filtrer sur l'adresse IP sur un service
Jean-Philippe Granchi a écrit :

> YP wrote:
>
>> Patrice KARATCHENTZEFF a écrit :
>>
>>> Salut,
>>>
>>> Je voudrais sélectionner les visiteurs pour un service donné... au
>>> hasard apache (2.0). J'ai eu beau chercher, Apache semble n'être
>>> capable de le faire que pour des adresses réseau complet et non
>>> sélectivement. Me gourre-je ? (évidemment, les adresses ne sont pas
>>> consécutives...).
>>
>
>>
>> <Location ....> ou <Directory ...>
>>    Order deny,allow
>>    Deny from all
>>    Allow from 127.0.0.1 192.168.1.2
>> </Location> ou </Directory>

>
>
> Ca marche assez bien et en plus c'est de base dans le module
> mod_access (qui s'install par defaut).
>
> Par contre en terme de sécurité, je suis pas sur que ce soit bien
> (spoofing etc ...), et je le ferai plus au niveau du firewall (en
> stock j'ai un truc comme:):


Oui, tout dépend de ce que l'on veut restreindre, et a quel niveau.
La méthode de filtrage dans la config apache permet, par exemple, de
forcer une authentification par login/mot de passe en cas de connexion
depuis des machines qui ne sont pas dans une liste et de laisser le
libre accès pour celles référencées.
Effectivement le filtrage par adresses IP a le travers d'être facilement
détourné. Il ne vaut pas grand chose dans l'absolu, mais peut être
suffisant dans certains cas.
Poser des règles de filtrage iptables est de ce point de vue nettement
plus sûr, sur le serveur même dans le cas où on veut poser des
restrictions d'accès pour des machines d'un LAN.

[..]

Yves