Aller au contenu

Restriction d'accès avec IP variable

Dudu
 Partager

Sujets conseillés

Dudu

Dudu

Posté
Posté

Salut le Hub ;)

J'ai un répertoire que je souhaite protéger, en le réservant à plusieurs IPs.

Pour l'instant, j'ai ceci dans un fichier .htaccess placé dans ce répertoire 

Order Allow,Deny
Allow from 123.123.123.123
Allow from 124.124.124.124

Problème: une des IPs est semi-fixe: elle change aléatoirement, une fois par semaine.

Jusque là, et vu que la fréquence d'une fois par semaine n'est pas très élevée, je m'amuse à changer l'IP manuellement ,mais à la longue... :nonono:

Donc j'ai pensé au reverse DNS: cette IP a un reverse DNS qui change lui aussi, mais qui comporte toujours les mêmes éléments:

AExemple-xx-xx-xx.abo.wanadoo.fr je souhaiterais donc écrire ma directive Allow en me servant du "AExemple" et du ".abo.wanadoo.fr"

La documentation Apache n'est pas très prolixe en exemples à ce sujet, sauriez-vous m'aider ? :)

Merci.

PS: le contenu de ce répertoire n'est pas TRÈS critique, donc je peux me permettre d'autoriser par mégarde une IP du type "AExemple-yy-yy-yy.abo.wanadoo.fr" qui ne serait pas la bonne ;)

Mais je ne veux pas non plus autoriser tous les ".abo.wanadoo.fr".

Remi

Remi

Posté
Posté

Normalement, tu n'as pas accès au Reverse DNS à ce niveau-là.

Si tu veux tester sur le Reverse DNS, il faudrait que tu le fasses toi-même par un code inséré dans tes pages où tu ferais une requête de Reverse.

Tu as du y penser, mais la protection par htaccess ne serait pas suffisante ?

Comme tu désires attribuer les droits à un poste (et non à une personne), il suffit de rentrer id/mot de passe une seule fois et de l'enregistrer. Les fois suivantes, l'utilisateur n'a qu'à faire Return pour entrer (sans même avoir à connaitre le mot de passe).

Même si tu as beaucoup de postes concernés, c'est faisable et cela sensibilise les gens au fait que cette page est en accès restreint.

Jeanluc

Jeanluc

Posté
Posté
Donc j'ai pensé au reverse DNS: cette IP a un reverse DNS qui change lui aussi, mais qui comporte toujours les mêmes éléments:

AExemple-xx-xx-xx.abo.wanadoo.fr je souhaiterais donc écrire ma directive Allow en me servant du "AExemple" et du ".abo.wanadoo.fr"

Comme Remi, je ne vois pas de solution avec reverse DNS, mais tu pourrais autoriser les plages d'adresses IP correspondants aux adresses Wanadoo qui t'intéressent.

Jean-Luc

Dan

Dan

Posté
Posté

Le problème est qu'il faudrait trouver les plages d'adresses du/des DSLAM considéré(s).

Et France Telecom ne communique pas beaucoup sur ce point.

Comme Remi, je pense qu'une identification login/mdp par .htaccess serait certainement plus adaptée.

Dudu

Dudu

Posté
  • Auteur
Posté

Salut les gars, merci de vos réponses :)

Normalement, tu n'as pas accès au Reverse DNS à ce niveau-là.
Ah ? J'avais testé avec un "allow from .abo.wanadoo.fr" (en refusant tous les autres avec un "deny from all"), et ça passait bien...

Si tu veux tester sur le Reverse DNS, il faudrait que tu le fasses toi-même par un code inséré dans tes pages où tu ferais une requête de Reverse.

Tu as du y penser

Oui, mais derrière ce répertoire ce cache un script PHP assez complexe que je n'ai pas écrit, et je n'ai pas tellement envie de pourrir les sources d'un script ne m'appartenant pas (surtout pour refaire la même modification à chaque mise-à-jour).

mais la protection par htaccess ne serait pas suffisante ?

Comme tu désires attribuer les droits à un poste (et non à une personne), il suffit de rentrer id/mot de passe une seule fois et de l'enregistrer. Les fois suivantes, l'utilisateur n'a qu'à faire Return pour entrer (sans même avoir à connaitre le mot de passe).

Même si tu as beaucoup de postes concernés, c'est faisable et cela sensibilise les gens au fait que cette page est en accès restreint.

Comme Remi, je ne vois pas de solution avec reverse DNS, mais tu pourrais autoriser les plages d'adresses IP correspondants aux adresses Wanadoo qui t'intéressent.
Le problème est qu'il faudrait trouver les plages d'adresses du/des DSLAM considéré(s).

Et France Telecom ne communique pas beaucoup sur ce point.

Comme Remi, je pense qu'une identification login/mdp par .htaccess serait certainement plus adaptée.

C'est un peu la réponse que je craignais. Et aussi la solution que je voulais éviter.

Pour les plages IPs, effectivement, comme dit Dan, je ne connais pas celles susceptibles d'être utilisées.

Me voilà parti pour une protection par mot de passe, alors ;)

Merci quand même pour votre aide et vos conseils :)

Remi

Remi

Posté
Posté
Ah ? J'avais testé avec un "allow from .abo.wanadoo.fr" (en refusant tous les autres avec un "deny from all"), et ça passait bien...

Alors cela voudrait dire que tu as un reverse dns fait en amont

Tu pourrais utiliser une construction du style

SetEnvIf Host ma_regex laisser_passer
<Directory /monrepertoire>
	Order Deny,Allow
	Deny from all
	Allow from env=laisser_passer
</Directory>

L'avantage est que tu peux mettre une regex

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
 Partager
Aller sur la liste des sujets
×
×
  • Créer...