Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

classic Classic list List threaded Threaded
40 messages Options
12
Reply | Threaded
Open this post in threaded view
|

Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

G2PC
Comment interdire la consultation de son serveur web sur son IP directe
et le port 443 ?
Est ce que ça a du sens ?

J'ai modifié ma configuration pour interdire la consultation directe du
serveur web sur sont IP directe et le port 80.

Si je tente de modifier le VHost pour ajouter une règle 443, je n'arrive
à rien, je suis redirigé vers le premier site que j'héberge, dans
l'ordre alphabétique.
/var/www/ethernium.fun

En même temps, je n'ai pas de certificat pour l'ip seule pour le serveur.
Je note également que certains sites ont été validé et enregistrés pour
HSTS.

Si quelqu'un a un conseil à donner, pour gérer ça ( IP:443 ) à peu près
correctement, si cela est nécessaire ?
Faut t'il s'occuper de la mise en place d'une règle pour bloquer le
trafic sur IP:443 ?


Voilà la conf actuelle, si quelque chose d'anormal SAUTE aux yeux ?
https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistrés

Merci


#######################################################################################


En complément, je tente de mettre une règle Fail2ban en place, pour
bloquer la consultation directe sur l'adresse IP du serveur.
Par contre, pour le moment, c'est la règle apache-auth qui travaille,
et, qui bloque les indésirables au bout de 3 tentatives, valeur par défaut.
Quand je tente de créer ma propre configuration, apache-ipserveur, le
retrymax passé à 1 n'est pas être pris en compte.
Pour le moment, je continue de lire à ce sujet.

https://wiki.visionduweb.fr/index.php?title=Installer_et_utiliser_Fail2ban#Interdire_la_navigation_via_l.27adresse_IP_du_serveur


Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

ajh-valmer
On Tuesday 11 February 2020 05:36:16 G2PC wrote:
> Comment interdire la consultation de son serveur web sur son IP directe
> et le port 443 ?
> Est ce que ça a du sens ?

Je ne comprends pas :
le port 443 = https,
et que veut dire ? :
"interdire la consultation sur son IP direct".

Enfin, ce n'est pas la consultation d'un serveur web,
mais d'un site Web ?

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

G2PC


Le 11/02/2020 à 14:53, [hidden email] a écrit :
On Tuesday 11 February 2020 05:36:16 G2PC wrote:
Comment interdire la consultation de son serveur web sur son IP directe
et le port 443 ?
Est ce que ça a du sens ?
Je ne comprends pas :
le port 443 = https,
et que veut dire ? :
"interdire la consultation sur son IP direct".

Enfin, ce n'est pas la consultation d'un serveur web,
mais d'un site Web ?

Oui, je voudrais que l'adresse IP sur un navigateur, n'affiche rien, et, éventuellement bannir toutes personnes ou robots qui voudraient utiliser l'IP directement sur le port 80 pour tenter d'accéder à un contenu web, puisque ce n'est pas le chemin normal, donc, fort à parier que ce soit des bidouilleurs.

J'ai lu un article dans ce sens mais la règle ne fonctionne pas comme attendue.

https://www.majorxtrem.be/2009/05/01/bloquer-les-scans-de-dossier-par-dictionnaire-sur-votre-serveur-web/


Comme dit, dans mon cas, j'ai eu plusieurs problèmes, déjà, la règle n'était même pas du tout reconnue, ensuite, c'est la configuration par défaut de fail2ban qui est utilisée ( via apache-auth ) ( et pas apache-ipserveur que j'ai créé ).


Finalement, j'ai pu avoir le apache-ipserveur d'activé mais il ne travail pas, c'est toujours la configuration de apache-auth qui est pris en compte.


Le tout dernier essai que j'ai mis en place consiste à remplacer le filtre proposé par le tutoriel précédent
failregex = [[]client []] client denied by server configuration: /var/www/139.99.173.195/.*
Par
failregex = ^[[][^]]+[]] [[]error[]] [[]client <HOST>[]] client denied by server configuration: /var/www/139.99.173.195/.*

Je ne suis ABSOLUMENT pas sur de ce que j'ai fais ici.


J'ai également corrigé mon VHost concernant mon IP, pour bien renvoyer une erreur 403 et la page correspondante depuis le dossier /var/www/139.99.173.195/403-erreur.php  tout en comprenant que le VHost interdit déjà la consultation directe par IP. J'ai donc simplement autorisé ici l'affichage de la page 403-erreur.php + L'image + le favicon.ico qui sont autorisés exceptionnellement, dans le VHost, sinon, tout est interdit ( client denied by server configuration )

https://wiki.visionduweb.fr/index.php?title=Installer_et_utiliser_Fail2ban#Interdire_la_navigation_via_l.27adresse_IP_du_serveur


J'en suis au même point, la règle semble être active mais ne fonctionne pas.
Si je tente de me connecter à Tor Browser, et, de naviguer avec mon IP, il faudra 3 essais avant d'être banni, et, pas 1 unique essai.
Je suis donc toujours sur la configuration par défaut, et, c'est apache-auth qui travail et pas apache-ipserveur.

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

Patrick Cao Huu Thien (debian lists)
In reply to this post by G2PC
Le 11 févr. 2020 a 05:36:16 +0100, G2PC a écrit :

bonjour a toi,

> Comment interdire la consultation de son serveur web sur son IP directe
> et le port 443 ?
> Est ce que ça a du sens ?

si ce n' est pas un server web oui.
si tu ne veux pas utiliser https, oui.
:)

Le plus simple me semble est iptables.
Tu interdis tout sauf ce que tu veux.

Si c'est une histoire de vhost je ne suis pas specialiste d'apache
(<troll>nginx c'est mieux :)</troll>)





>
> J'ai modifié ma configuration pour interdire la consultation directe du
> serveur web sur sont IP directe et le port 80.
>
> Si je tente de modifier le VHost pour ajouter une règle 443, je n'arrive
> à rien, je suis redirigé vers le premier site que j'héberge, dans
> l'ordre alphabétique.
> /var/www/ethernium.fun
>
> En même temps, je n'ai pas de certificat pour l'ip seule pour le serveur.
> Je note également que certains sites ont été validé et enregistrés pour
> HSTS.
>
> Si quelqu'un a un conseil à donner, pour gérer ça ( IP:443 ) à peu près
> correctement, si cela est nécessaire ?
> Faut t'il s'occuper de la mise en place d'une règle pour bloquer le
> trafic sur IP:443 ?
>
>
> Voilà la conf actuelle, si quelque chose d'anormal SAUTE aux yeux ?
> https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistrés

PS: c'est peut etre pas une bonne idee de mettre ta config apache sur un
site.

amicalement
patrick

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

ajh-valmer
In reply to this post by G2PC
> Le 11/02/2020 à 14:53, [hidden email] a écrit :
> > On Tuesday 11 February 2020 05:36:16 G2PC wrote:
> >> Comment interdire la consultation de son serveur web sur son IP directe
> >> et le port 443 ?
> >> Est ce que ça a du sens ?
> > Je ne comprends pas :
> > le port 443 = https,
> > et que veut dire ? :
> > "interdire la consultation sur son IP direct".
> > Enfin, ce n'est pas la consultation d'un serveur web,
> > mais d'un site Web ?

> Oui, je voudrais que l'adresse IP sur un navigateur, n'affiche rien, et,
> éventuellement bannir toutes personnes ou robots qui voudraient utiliser
> l'IP directement sur le port 80 pour tenter d'accéder à un contenu web,
> puisque ce n'est pas le chemin normal, donc, fort à parier que ce soit
> des bidouilleurs.

Excuses, je ne comprends tjrs pas :
"que l'adresse IP sur un navigateur, n'affiche rien".
Merci de bien le ré-exprimer.

On peut empêcher bien des connexions avec les
scripts PHP et Iptables.

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

haricophile@aranha.fr
In reply to this post by G2PC
Le mardi 11 février 2020 à 15:48 +0100, G2PC a écrit :
> Oui, je voudrais que l'adresse IP sur un navigateur, n'affiche rien, et,
> éventuellement bannir toutes personnes ou robots qui voudraient utiliser
> l'IP directement sur le port 80 pour tenter d'accéder à un contenu web,
> puisque ce n'est pas le chemin normal, donc, fort à parier que ce soit des
> bidouilleurs.

Sur le port 80 c'est plutôt un chemin très normal et tu risque surtout de
pénaliser les non-bidouilleurs justement.

Si tu ne veux pas servir de http mais que du https, tu peux configurer ton
serveur pour ça, ou faire une bête redirection vers tes pages https.

Sinon un index.html sans contenu ça affiche une page blanche... mais ça sert à
quoi ? Autant faire une redirection dans ta page avec un petit message et un
lien si le navigateur bloque la redirection automatique.

J'ai l'impression que tu cherche des choses compliquées là ou c'est simple. Je
suis souvent un peu comme ça aussi, mais chut!

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

G2PC
In reply to this post by Patrick Cao Huu Thien (debian lists)

> PS: c'est peut etre pas une bonne idee de mettre ta config apache sur un
> site.
>
> amicalement
> patrick

Oui mais bon, contrairement à d'autres, je ne commercialise rien.
D'ailleurs, quand on voit les VHosts de nombreux sites marchands, je
pense que je n'ai pas à rougir du mien.
Quant à la sécurité, elle n'existe pas, ou, pour les autres.

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

G2PC
In reply to this post by ajh-valmer

> Excuses, je ne comprends tjrs pas :
> "que l'adresse IP sur un navigateur, n'affiche rien".
> Merci de bien le ré-exprimer.
>
> On peut empêcher bien des connexions avec les
> scripts PHP et Iptables.

Actuellement, j'ai interdit la consultation d'un contenu, si on utilise
mon IP, à l'aide de mon VHost de Apache.
Je redirige vers une page erreur 403.

Ce que je voudrais maintenant, c'est une règle Fail2ban pour automatiser
les bans, si un client cherche à consulter un contenu web en utilisant
l'adresse IP du serveur plutôt que l'un des noms de domaines.

Je constate que la règle apache-auth de fail2ban se charge déjà de
bannir les clients qui répondent aux logs " La configuration du serveur
n'autorise pas à consulter cette page ", cela après 3 essais infructueux.

J'ai tenté de créer ma propre règle pour HTTP, en autorisant 1 seul
essai infructueux, mais, elle ne fonctionne pas.


Et, je me demandais si je peux obtenir un équivalent, pour HTTPS.

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

G2PC
In reply to this post by haricophile@aranha.fr

> Sur le port 80 c'est plutôt un chemin très normal et tu risque surtout de
> pénaliser les non-bidouilleurs justement.

Bah oui et non, mais le vrai chemin normal, c'est de consulter le
contenu en passant par le nom de domaine.

> Si tu ne veux pas servir de http mais que du https, tu peux configurer ton
> serveur pour ça, ou faire une bête redirection vers tes pages https.


Mes domaines sont déjà tous en HTTPS avec lets encrypt.


> Sinon un index.html sans contenu ça affiche une page blanche... mais ça sert à
> quoi ? Autant faire une redirection dans ta page avec un petit message et un
> lien si le navigateur bloque la redirection automatique.

J'avais une redirection effectivement, vers l'un de mes sites, mais, je
ne trouve pas ça très propre.
J'ai donc effectivement créé un index.html qui ne sert plus finalement,
car, j'ai interdit la consultation de tout le dossier /var/www/ip depuis
le VHost.
Une redirection est faite vers la page erreur 403, donc, oui, c'est
géré, pour le port 80 ;
https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#139.99.173.195_.C3.A9coute_du_port_HTTP_80

Par contre, si j'appelle mon IP:443 alors, je suis redirigé vers le
premier nom de domaine de ma liste ( ethernium.fun ) :
https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#139.99.173.195_.C3.A9coute_du_port_HTTP_80
De plus, le site ne va pas afficher les images correctement, à cause de
la protection anti hotlinking.
Seul la consultation depuis le domaine est autorisée. ( Je pourrais
autoriser l'IP du serveur dans la protection anti hotlinking ... mais ...)
J'ai l'impression qu'il y a un soucis de configuration, car, je devrais
pouvoir obtenir le même résultat que pour le port 80, c'est à dire,
rediriger IP:443 vers une page d'interdiction, mais alors, je n'arrive
plus à consulter mes domaines.



> J'ai l'impression que tu cherche des choses compliquées là ou c'est simple. Je
> suis souvent un peu comme ça aussi, mais chut!

La première chose compliquée, c'est d'arriver à écrire une règle
fonctionnelle pour Fail2ban pour bloquer les clients qui vont sur IP:80
En fait, c'est déjà le cas de la règle apache-auth

Par contre, je n'arrive pas à ce que ma propre règle apache-ipserveur
fasse le travail, avec la valeur par défaut pour le maxretry, de 1, au
lieu de 3 par défaut pour apache-auth. C'est le jail apache-auth qui
travail, et, apache-ipserveur semble activé, mais, ne rien faire.


Le plus compliqué étant de faire alors la même chose pour IP:443 sans
créer une panne de consultation pour mes domaines.



Reply | Threaded
Open this post in threaded view
|

Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

k6dedijon (Bugzilla)
In reply to this post by G2PC
Bonjour,
Tout dépend de ce que tu veux interdire.
Si tu veux un accès seulement aux personnes autorisées sans avoir à gérer l'endroit d'où ces personnes se connectent, il faut tout simplement filtrer sur ta page : index.html
Seules les personnes à qui tu auras communiqué le mot de passe pourront se connecter.

En espérant que c'est ce type de contrôle que tu cherches.
Cassis






----- Mail d'origine -----
De: G2PC <[hidden email]>
À: Liste Debian <[hidden email]>
Envoyé: Tue, 11 Feb 2020 05:36:16 +0100 (CET)
Objet: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

Comment interdire la consultation de son serveur web sur son IP directe
et le port 443 ?
Est ce que ça a du sens ?

J'ai modifié ma configuration pour interdire la consultation directe du
serveur web sur sont IP directe et le port 80.

Si je tente de modifier le VHost pour ajouter une règle 443, je n'arrive
à rien, je suis redirigé vers le premier site que j'héberge, dans
l'ordre alphabétique.
/var/www/ethernium.fun

En même temps, je n'ai pas de certificat pour l'ip seule pour le serveur.
Je note également que certains sites ont été validé et enregistrés pour
HSTS.

Si quelqu'un a un conseil à donner, pour gérer ça ( IP:443 ) à peu près
correctement, si cela est nécessaire ?
Faut t'il s'occuper de la mise en place d'une règle pour bloquer le
trafic sur IP:443 ?


Voilà la conf actuelle, si quelque chose d'anormal SAUTE aux yeux ?
https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistrés

Merci


#######################################################################################


En complément, je tente de mettre une règle Fail2ban en place, pour
bloquer la consultation directe sur l'adresse IP du serveur.
Par contre, pour le moment, c'est la règle apache-auth qui travaille,
et, qui bloque les indésirables au bout de 3 tentatives, valeur par défaut.
Quand je tente de créer ma propre configuration, apache-ipserveur, le
retrymax passé à 1 n'est pas être pris en compte.
Pour le moment, je continue de lire à ce sujet.

https://wiki.visionduweb.fr/index.php?title=Installer_et_utiliser_Fail2ban#Interdire_la_navigation_via_l.27adresse_IP_du_serveur



Reply | Threaded
Open this post in threaded view
|

Re: Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

G2PC

Le 12/02/2020 à 09:18, [hidden email] a écrit :
> Bonjour,
> Tout dépend de ce que tu veux interdire.
> Si tu veux un accès seulement aux personnes autorisées sans avoir à gérer l'endroit d'où ces personnes se connectent, il faut tout simplement filtrer sur ta page : index.html
> Seules les personnes à qui tu auras communiqué le mot de passe pourront se connecter.
>
> En espérant que c'est ce type de contrôle que tu cherches.
> Cassis
Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
voudraient demander une lecture http via l'ip directement, au lieu du
nom de domaine.
En somme, bloquer tout ce qui ne passe pas par un domaine.

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

Sébastien NOBILI-3
Bonjour,

12 février 2020 12:05 "G2PC" <[hidden email]> a écrit:
 
> Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
> voudraient demander une lecture http via l'ip directement, au lieu du
> nom de domaine.
> En somme, bloquer tout ce qui ne passe pas par un domaine.

C'est quoi le but ???

Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
à mémoriser les adresses IP… Quand tu tapes une URL dans ton navigateur, ton
système va résoudre ce nom pour en obtenir l'adresse IP, puis se connecter à
ladite adresse IP.

Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
navigateur ne fait rien de mal en soi…

Sébastien

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

Basile Starynkevitch

On Wednesday, February 12, 2020 12:12 CET, "Sébastien NOBILI" <[hidden email]> wrote:
 
Bonjour,

12 février 2020 12:05 "G2PC" <[hidden email]> a écrit:

> Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
> voudraient demander une lecture http via l'ip directement, au lieu du
> nom de domaine.
> En somme, bloquer tout ce qui ne passe pas par un domaine.

C'est quoi le but ???

Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
à mémoriser les adresses IP… Quand tu tapes une URL dans ton navigateur, ton
système va résoudre ce nom pour en obtenir l'adresse IP, puis se connecter à
ladite adresse IP.

Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
navigateur ne fait rien de mal en soi…

Sébastien
 

C'est au niveau du protocole HTTP/1.1 ou mieux qu'on peut agir (le champ Host: de la requête GET ou POST ...). Voir la wikipage anglaise (Wikipedia) sur HTTP puis l'entête Host: de HTTP/1.1 (voir https://en.wikipedia.org/wiki/List_of_HTTP_header_fields et bien évidemment la RFC7231 ... Pour HTTP2 ça devient plus compliqué.

A mon humble avis, "G2PC" <[hidden email]>  devrait se plonger dans la documentation de son logiciel serveur Web. Aussi bien lighttpd que Apache peuvent être configurés pour ça.

Et si G2PC utilise une librarie serveur Web comme libonion, c'est faisable aussi.

Cordialement

--

Basile Starynkevitch
http://starynkevitch.net/Basile/
92340 Bourg La Reine, France
<[hidden email]>
 
Reply | Threaded
Open this post in threaded view
|

Re: Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

NoSpam-4
In reply to this post by G2PC

Le 12/02/2020 à 12:03, G2PC a écrit :

> Le 12/02/2020 à 09:18, [hidden email] a écrit :
>> Bonjour,
>> Tout dépend de ce que tu veux interdire.
>> Si tu veux un accès seulement aux personnes autorisées sans avoir à gérer l'endroit d'où ces personnes se connectent, il faut tout simplement filtrer sur ta page : index.html
>> Seules les personnes à qui tu auras communiqué le mot de passe pourront se connecter.
>>
>> En espérant que c'est ce type de contrôle que tu cherches.
>> Cassis
> Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
> voudraient demander une lecture http via l'ip directement, au lieu du
> nom de domaine.
> En somme, bloquer tout ce qui ne passe pas par un domaine.

Remplace ta page html par une page php et envois l'adresse IP à fail2ban.

Je trouve toutefois cette demande très curieuse d'autant que
visionduweb.com est redirigé vers l'accueil visionduweb.fr, alors
pourquoi ne pas adopter le même comportement pour un accès via IP ...

--

Daniel

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

G2PC
In reply to this post by Sébastien NOBILI-3

> C'est quoi le but ???
>
> Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
> à mémoriser les adresses IP… Quand tu tapes une URL dans ton navigateur, ton
> système va résoudre ce nom pour en obtenir l'adresse IP, puis se connecter à
> ladite adresse IP.
>
> Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
> navigateur ne fait rien de mal en soi…
>
> Sébastien

Certes, sauf que, les noms de domaines permettent de pointer vers le bon
dossier du serveur web hébergeant plusieurs sites.

Chercher à consulter via un navigateur, l'ip du serveur, n'a pas de sens
dans mon cas.
Quel est le site qui va être affiché ?
Mon site principale, mon wiki, mon rendu FTP, mon site de jeu, mon
redmine, mon site écolo, ou autre ?

Donc, la navigation doit se faire via le domaine, et, non pas par l'ip
depuis le navigateur.

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

G2PC
In reply to this post by Basile Starynkevitch

C'est au niveau du protocole HTTP/1.1 ou mieux qu'on peut agir (le champ Host: de la requête GET ou POST ...). Voir la wikipage anglaise (Wikipedia) sur HTTP puis l'entête Host: de HTTP/1.1 (voir https://en.wikipedia.org/wiki/List_of_HTTP_header_fields et bien évidemment la RFC7231 ... Pour HTTP2 ça devient plus compliqué.

A mon humble avis, "G2PC" [hidden email]  devrait se plonger dans la documentation de son logiciel serveur Web. Aussi bien lighttpd que Apache peuvent être configurés pour ça.

Et si G2PC utilise une librarie serveur Web comme libonion, c'est faisable aussi.

Cordialement


Je ne comprend pas le renvoie vers HTTP et la RFC que tu mentionnes.
Je parlais initialement de Fail2ban et tu me renvoies vers le protocole HTTP.

Tu me conseils de lire la documentation de Apache...
Un peu comme le compte rendu que j'ai fais de mes lectures, ici, je suppose :
https://wiki.visionduweb.fr/index.php?title=Installer_Apache2_sur_Debian

Donc, évidemment, si je pose une question sur Fail2ban et Apache, c'est pour avoir une piste de recherche, un conseil, un tutoriel, au moins un ensemble de mots clés complémentaires à ceux déjà évoqués, et, pas pour que l'on me renvoie sur la page principale de Apache pour y lire toute la documentation de Apache, sans savoir quoi chercher, alors que la question initiale portait tout de même sur Fail2ban.

Par contre, si des experts veulent relire ma synthèse, pour identifier des erreurs ou des fautes d'orthographe, libre à vous.

https://wiki.visionduweb.fr/index.php?title=Installer_Apache2_sur_Debian


En attendant, je vais donc continuer mes lectures sur Fail2ban à ce moment la, et, laisser tomber ma règle personnalisée, pour me concentrer sur la règle apache-auth.

Reply | Threaded
Open this post in threaded view
|

Re: Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

G2PC
In reply to this post by NoSpam-4

> Remplace ta page html par une page php et envois l'adresse IP à fail2ban.

Intéressant, je n'avais pas pensé à coupler PHP pour relever les IP et
travailler avec Fail2ban.
Je vais y penser, voir si cela peut être fait ainsi.
Enfin, j'aurais préféré que Fail2ban récupère les erreurs dans les logs,
dès lors ou une demande sur le vhost à l'écoute de l'ip se fait rejetée.
C'est déjà le cas actuellement avec la règle apache-auth !
J'ai voulu paramétrer ma propre règle, pour surcharger les paramètres,
mais, ma règle ne semble pas travailler, c'était la le problème.

> Je trouve toutefois cette demande très curieuse d'autant que
> visionduweb.com est redirigé vers l'accueil visionduweb.fr, alors
> pourquoi ne pas adopter le même comportement pour un accès via IP ...

Comme je le disais, j'ai plusieurs domaines, donc, il faudrait alors
définir un site principale, hors, peut être que je ne souhaite pas
définir un site principale.
Quelques lectures m'ont laissées penser que ce n'était pas forcément si
judicieux et qu'il serrait intéressant de verrouiller la consultation
lorsque c'est l'adresse IP qui est saisie.

J'utilisais bien une redirection il y a peu, de l'ip:80 vers le site
principale, mais, la redirection de l'ip:443 vers le site principale ne
fonctionne pas et je n'ai pas trouvé comment faire.
Dès lors, je me suis dis qu'il serait peut être plus judicieux de
verrouiller la consultation sur le navigateur, pour l'ip:80

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

Maxime G.
Je ne comprends pas la complexité des propositions précédentes.

Simplement:
Tu pointes ton vhost default vers une page de ton choix (blanche ou avec script de redirection ou redirect apache dans le vhost).
Dans tous les cas les autres vhosts avec domaines pointent vers des repertoires (avec cgi ou autre).

Si quelqu'un vient get / sur IP sans précédence domaine il aura la page par défaut de ton choix.
Si quelqu'un vient get / sur IP avec précédence il sera envoyé vers le repertoire du vhost domaine qui va lui charger le bon site.

Fail2ban les IP sources qui viennent sur ton serveur est une très mauvaise idée.
Si iptables vient à missmatch sur le domaine réclamé il va ban le visiteur ou +, car avec les réseaux NATés tu risques de bannir plusieurs centaines de clients en trafic (réseaux mobiles par exemple)

Maxime.


12 février 2020 15:01 "G2PC" <[hidden email]> a écrit:

>> Remplace ta page html par une page php et envois l'adresse IP à fail2ban.
>
> Intéressant, je n'avais pas pensé à coupler PHP pour relever les IP et
> travailler avec Fail2ban.
> Je vais y penser, voir si cela peut être fait ainsi.
> Enfin, j'aurais préféré que Fail2ban récupère les erreurs dans les logs,
> dès lors ou une demande sur le vhost à l'écoute de l'ip se fait rejetée.
> C'est déjà le cas actuellement avec la règle apache-auth !
> J'ai voulu paramétrer ma propre règle, pour surcharger les paramètres,
> mais, ma règle ne semble pas travailler, c'était la le problème.
>
>> Je trouve toutefois cette demande très curieuse d'autant que
>> visionduweb.com est redirigé vers l'accueil visionduweb.fr, alors
>> pourquoi ne pas adopter le même comportement pour un accès via IP ...
>
> Comme je le disais, j'ai plusieurs domaines, donc, il faudrait alors
> définir un site principale, hors, peut être que je ne souhaite pas
> définir un site principale.
> Quelques lectures m'ont laissées penser que ce n'était pas forcément si
> judicieux et qu'il serrait intéressant de verrouiller la consultation
> lorsque c'est l'adresse IP qui est saisie.
>
> J'utilisais bien une redirection il y a peu, de l'ip:80 vers le site
> principale, mais, la redirection de l'ip:443 vers le site principale ne
> fonctionne pas et je n'ai pas trouvé comment faire.
> Dès lors, je me suis dis qu'il serait peut être plus judicieux de
> verrouiller la consultation sur le navigateur, pour l'ip:80

Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

G2PC

> Si quelqu'un vient get / sur IP sans précédence domaine il aura la page par défaut de ton choix.

C'est le cas, j'avais déjà une redirection vers mon site principale,
mais, comme je disais, elle ne fonctionnait que pour le protocole 80,
et, pas en 443, et, si je tentais d'utiliser IP:443 alors j'arrivais sur
un autre de mes sites.
Redirection normale IP:80 -> visionduweb.fr
Redirection anormale IP:443 -> ethernium.fun ( et consultation de
visionduweb.fr rendue il me semble impossible. )

Ce ce fait, j'ai opté pour bloquer la consultation en IP:80 depuis un
navigateur, pour ne pas entrer dans un schema ou, si IP:80 est
consultable, IP:443 le serait aussi, puisque ce n'est pas le cas.
J'ai donc créé une redirection 403 en cas de consultation IP:80 et la
règle de fail2ban apache-auth bloque le client après 3 échecs.

> Si quelqu'un vient get / sur IP avec précédence il sera envoyé vers le repertoire du vhost domaine qui va lui charger le bon site.
>
> Fail2ban les IP sources qui viennent sur ton serveur est une très mauvaise idée.
> Si iptables vient à missmatch sur le domaine réclamé il va ban le visiteur ou +, car avec les réseaux NATés tu risques de bannir plusieurs centaines de clients en trafic (réseaux mobiles par exemple)
Oui mais normalement, seul les clients qui créent des erreurs sont ban,
et, les clients ne devraient pas finir en 403, 3 fois de suite,
Tout comme, les clients ne devraient pas avoir à consulter les pages de
login pour l'administration,

Donc, normalement, les clients ban le sont car ils ont tenté une action
interdite par l'admin.


Concrètement, j'ai pu avancer un peu avec fail2ban et mettre en place de
nouvelles règles complémentaires.
Je n'ai toujours pas réussi à faire fonctionner ma propre règle qui me
permet de ban tout ce qui arrive sur IP:80 , je suppose que c'est la
regex qui ne correspond pas, ou que la regex existe déjà dans
apache-auth et fait double emploi.

Concrètement, j'ai encore cette problématique de IP:80 qui fonctionne à
la consultation, mais, IP:443 qui me renvoie vers un autre de mes sites,
et, je ne vois pas comment aborder l'identification de ce problème la.



Reply | Threaded
Open this post in threaded view
|

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

Maxime G.
In reply to this post by Maxime G.
Une requête sur IP:443 doit renvoyer sur un default vhost qui porte un certificat.

Ce même certificat est soit autosigné soit signé, dans tous les cas il ne matchera jamais avec l'IP, ce qui provoquera une erreur dans le navigateur.

Si il y a contournement de l'erreur, il chargera le site default.


Le fonctionnement est le même avec nginx.

Le fonctionnement de fail2ban comme décrit me semble plus bloquant qu'autre chose, sauf si le service est sensible et réglementé.

Mais rassures-toi il y a pire 😁
Le 13 févr. 2020 14:28, G2PC <[hidden email]> a écrit :

>
>
> > Si quelqu'un vient get / sur IP sans précédence domaine il aura la page par défaut de ton choix.
>
> C'est le cas, j'avais déjà une redirection vers mon site principale,
> mais, comme je disais, elle ne fonctionnait que pour le protocole 80,
> et, pas en 443, et, si je tentais d'utiliser IP:443 alors j'arrivais sur
> un autre de mes sites.
> Redirection normale IP:80 -> visionduweb.fr
> Redirection anormale IP:443 -> ethernium.fun ( et consultation de
> visionduweb.fr rendue il me semble impossible. )
>
> Ce ce fait, j'ai opté pour bloquer la consultation en IP:80 depuis un
> navigateur, pour ne pas entrer dans un schema ou, si IP:80 est
> consultable, IP:443 le serait aussi, puisque ce n'est pas le cas.
> J'ai donc créé une redirection 403 en cas de consultation IP:80 et la
> règle de fail2ban apache-auth bloque le client après 3 échecs.
>
> > Si quelqu'un vient get / sur IP avec précédence il sera envoyé vers le repertoire du vhost domaine qui va lui charger le bon site.
> >
> > Fail2ban les IP sources qui viennent sur ton serveur est une très mauvaise idée.
> > Si iptables vient à missmatch sur le domaine réclamé il va ban le visiteur ou +, car avec les réseaux NATés tu risques de bannir plusieurs centaines de clients en trafic (réseaux mobiles par exemple)
> Oui mais normalement, seul les clients qui créent des erreurs sont ban,
> et, les clients ne devraient pas finir en 403, 3 fois de suite,
> Tout comme, les clients ne devraient pas avoir à consulter les pages de
> login pour l'administration,
>
> Donc, normalement, les clients ban le sont car ils ont tenté une action
> interdite par l'admin.
>
>
> Concrètement, j'ai pu avancer un peu avec fail2ban et mettre en place de
> nouvelles règles complémentaires.
> Je n'ai toujours pas réussi à faire fonctionner ma propre règle qui me
> permet de ban tout ce qui arrive sur IP:80 , je suppose que c'est la
> regex qui ne correspond pas, ou que la regex existe déjà dans
> apache-auth et fait double emploi.
>
> Concrètement, j'ai encore cette problématique de IP:80 qui fonctionne à
> la consultation, mais, IP:443 qui me renvoie vers un autre de mes sites,
> et, je ne vois pas comment aborder l'identification de ce problème la.
>
>
>
12