cerhu > linux.debian.user.french

G2PC (11/02/2020, 06h40)
Comment interdire la consultation de son serveur web sur son IP directe
et le port 443 ?
Est ce que ça a du sens ?

J'ai modifié ma configuration pour interdire la consultation directedu
serveur web sur sont IP directe et le port 80.

Si je tente de modifier le VHost pour ajouter une règle 443, je n'arrive
à rien, je suis redirigé vers le premier site que j'héberge, dans
l'ordre alphabétique.
/var/www/ethernium.fun

En même temps, je n'ai pas de certificat pour l'ip seule pour le serveur.
Je note également que certains sites ont été validé et enregistrés pour
HSTS.

Si quelqu'un a un conseil à donner, pour gérer ça ( IP:443) à peu près
correctement, si cela est nécessaire ?
Faut t'il s'occuper de la mise en place d'une règle pour bloquer le
trafic sur IP:443 ?

Voilà la conf actuelle, si quelque chose d'anormal SAUTE aux yeux ?
[..]

Merci

################################################## #####################################

En complément, je tente de mettre une règle Fail2ban en place, pour
bloquer la consultation directe sur l'adresse IP du serveur.
Par contre, pour le moment, c'est la règle apache-auth qui travaille,
et, qui bloque les indésirables au bout de 3 tentatives, valeur par défaut.
Quand je tente de créer ma propre configuration, apache-ipserveur, le
retrymax passé à 1 n'est pas être pris en compte.
Pour le moment, je continue de lire à ce sujet.

[..]
ajh.valmer (11/02/2020, 16h00)
On Tuesday 11 February 2020 05:36:16 G2PC wrote:
> Comment interdire la consultation de son serveur web sur son IP directe
> et le port 443 ?
> Est ce que ça a du sens ?


Je ne comprends pas :
le port 443 = https,
et que veut dire ? :
"interdire la consultation sur son IP direct".

Enfin, ce n'est pas la consultation d'un serveur web,
mais d'un site Web ?
Patrick CAO HUU THIEN (11/02/2020, 19h00)
Le 11 févr. 2020 a 05:36:16 +0100, G2PC a écrit :

bonjour a toi,

> Comment interdire la consultation de son serveur web sur son IP directe
> et le port 443 ?
> Est ce que ça a du sens ?


si ce n' est pas un server web oui.
si tu ne veux pas utiliser https, oui.
:)

Le plus simple me semble est iptables.
Tu interdis tout sauf ce que tu veux.

Si c'est une histoire de vhost je ne suis pas specialiste d'apache
(<troll>nginx c'est mieux :)</troll>)

[..]
> HSTS.
> Si quelqu'un a un conseil à donner, pour gérer ça ( IP:443 ) à peu près
> correctement, si cela est nécessaire ?
> Faut t'il s'occuper de la mise en place d'une règle pour bloquer le
> trafic sur IP:443 ?
>> Voilà la conf actuelle, si quelque chose d'anormal SAUTE aux yeux ?

> [..]


PS: c'est peut etre pas une bonne idee de mettre ta config apache sur un
site.

amicalement
patrick
ajh.valmer (11/02/2020, 23h00)
> Le 11/02/2020 à 14:53, ajh.valmer a écrit :

> Oui, je voudrais que l'adresse IP sur un navigateur, n'affiche rien, et,
> éventuellement bannir toutes personnes ou robots qui voudraient utiliser
> l'IP directement sur le port 80 pour tenter d'accéder à un contenu web,
> puisque ce n'est pas le chemin normal, donc, fort à parier que ce soit
> des bidouilleurs.


Excuses, je ne comprends tjrs pas :
"que l'adresse IP sur un navigateur, n'affiche rien".
Merci de bien le ré-exprimer.

On peut empêcher bien des connexions avec les
scripts PHP et Iptables.
Haricophile (12/02/2020, 04h10)
Le mardi 11 février 2020 à 15:48 +0100, G2PC a écrit :
> Oui, je voudrais que l'adresse IP sur un navigateur, n'affiche rien, et,
> éventuellement bannir toutes personnes ou robots qui voudraient utiliser
> l'IP directement sur le port 80 pour tenter d'accéder à un contenu web,
> puisque ce n'est pas le chemin normal, donc, fort à parier que ce soit des
> bidouilleurs.


Sur le port 80 c'est plutôt un chemin très normal et tu risque surtout de
pénaliser les non-bidouilleurs justement.

Si tu ne veux pas servir de http mais que du https, tu peux configurer ton
serveur pour ça, ou faire une bête redirection vers tes pages https.

Sinon un index.html sans contenu ça affiche une page blanche... mais ça sert à
quoi ? Autant faire une redirection dans ta page avec un petit message et un
lien si le navigateur bloque la redirection automatique.

J'ai l'impression que tu cherche des choses compliquées là ou c'est simple. Je
suis souvent un peu comme ça aussi, mais chut!
G2PC (12/02/2020, 05h20)
> PS: c'est peut etre pas une bonne idee de mettre ta config apache sur un
> site.
> amicalement
> patrick


Oui mais bon, contrairement à d'autres, je ne commercialise rien.
D'ailleurs, quand on voit les VHosts de nombreux sites marchands, je
pense que je n'ai pas à rougir du mien.
Quant à la sécurité, elle n'existe pas, ou, pour les autres.
k6dedijon (12/02/2020, 10h20)
Bonjour,
Tout dépend de ce que tu veux interdire.
Si tu veux un accès seulement aux personnes autorisées sans avoirà gérer l'endroit d'où ces personnes se connectent, il fauttout simplement filtrer sur ta page : index.html
Seules les personnes à qui tu auras communiqué le mot de passe pourront se connecter.

En espérant que c'est ce type de contrôle que tu cherches.
Cassis

----- Mail d'origine -----
De: G2PC <g2pc>
À: Liste Debian <debian-user-french>
Envoyé: Tue, 11 Feb 2020 05:36:16 +0100 (CET)
Objet: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

Comment interdire la consultation de son serveur web sur son IP directe
et le port 443 ?
Est ce que ça a du sens ?

J'ai modifié ma configuration pour interdire la consultation directe du
serveur web sur sont IP directe et le port 80.

Si je tente de modifier le VHost pour ajouter une règle 443, je n'arrive
à rien, je suis redirigé vers le premier site que j'héberge,dans
l'ordre alphabétique.
/var/www/ethernium.fun

En même temps, je n'ai pas de certificat pour l'ip seule pour le serveur.
Je note également que certains sites ont été validé et enregistrés pour
HSTS.

Si quelqu'un a un conseil à donner, pour gérer ça ( IP:443 )à peu près
correctement, si cela est nécessaire ?
Faut t'il s'occuper de la mise en place d'une règle pour bloquer le
trafic sur IP:443 ?

Voilà la conf actuelle, si quelque chose d'anormal SAUTE aux yeux ?
[..]

Merci

################################################## #####################################

En complément, je tente de mettre une règle Fail2ban en place, pour
bloquer la consultation directe sur l'adresse IP du serveur.
Par contre, pour le moment, c'est la règle apache-auth qui travaille,
et, qui bloque les indésirables au bout de 3 tentatives, valeur par défaut.
Quand je tente de créer ma propre configuration, apache-ipserveur, le
retrymax passé à 1 n'est pas être pris en compte.
Pour le moment, je continue de lire à ce sujet.

[..]
G2PC (12/02/2020, 13h10)
Le 12/02/2020 à 09:18, k6dedijon a écrit :
> Bonjour,
> Tout dépend de ce que tu veux interdire.
> Si tu veux un accès seulement aux personnes autorisées sans avoir à gérer l'endroit d'où ces personnes se connectent, il faut tout simplement filtrer sur ta page : index.html
> Seules les personnes à qui tu auras communiqué le mot de passe pourront se connecter.
> En espérant que c'est ce type de contrôle que tu cherches.
> Cassis

Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
voudraient demander une lecture http via l'ip directement, au lieu du
nom de domaine.
En somme, bloquer tout ce qui ne passe pas par un domaine.
Sébastien NOBILI (12/02/2020, 13h20)
Bonjour,

12 février 2020 12:05 "G2PC" <g2pc> a écrit:
> Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
> voudraient demander une lecture http via l'ip directement, au lieu du
> nom de domaine.
> En somme, bloquer tout ce qui ne passe pas par un domaine.


C'est quoi le but ???

Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
à mémoriser les adresses IP? Quand tu tapes une URLdans ton navigateur, ton
système va résoudre ce nom pour en obtenir l'adresse IP, puis se connecter à
ladite adresse IP.

Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
navigateur ne fait rien de mal en soi?

Sébastien
basile (12/02/2020, 13h50)
On Wednesday, February 12, 2020 12:12 CET, "Sébastien NOBILI" <sebnewsletter> wrote:
 Bonjour,

12 février 2020 12:05 "G2PC" <g2pc> a écrit:

> Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
> voudraient demander une lecture http via l'ip directement, au lieu du
> nom de domaine.
> En somme, bloquer tout ce qui ne passe pas par un domaine.


C'est quoi le but ???

Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
à mémoriser les adresses IP? Quand tu tapes une URL dans ton navigateur, ton
système va résoudre ce nom pour en obtenir l'adresse IP, puisse connecter à
ladite adresse IP.

Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
navigateur ne fait rien de mal en soi?

Sébastien
 
C'est au niveau du protocole HTTP/1.1 ou mieux qu'on peut agir (le champ Host: de la requête GET ou POST ...). Voir la wikipage anglaise (Wikipedia) sur HTTP puis l'entête Host: de HTTP/1.1 (voir [..] et bien évidemment la RFC7231 ... Pour HTTP2 ça devient plus compliqué..

A mon humble avis, "G2PC" <g2pc>  devrait se plonger dans la documentation de son logiciel serveur Web. Aussi bien lighttpd que Apache peuvent être configurés pour ça.

Et si G2PC utilise une librarie serveur Web comme libonion, c'est faisable aussi.

Cordialement
NoSpam (12/02/2020, 15h10)
Le 12/02/2020 à 12:03, G2PC a écrit :
> Le 12/02/2020 à 09:18, k6dedijon a écrit :
> Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
> voudraient demander une lecture http via l'ip directement, au lieu du
> nom de domaine.
> En somme, bloquer tout ce qui ne passe pas par un domaine.


Remplace ta page html par une page php et envois l'adresse IP à fail2ban.

Je trouve toutefois cette demande très curieuse d'autant que
visionduweb.com est redirigé vers l'accueil visionduweb.fr, alors
pourquoi ne pas adopter le même comportement pour un accès via IP ...
G2PC (12/02/2020, 15h50)
> C'est quoi le but ???
> Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
> à mémoriser les adresses IP? Quand tu tapes une URL dans ton navigateur, ton
> système va résoudre ce nom pour en obtenir l'adresse IP, puis se connecter à
> ladite adresse IP.
> Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
> navigateur ne fait rien de mal en soi?
> Sébastien


Certes, sauf que, les noms de domaines permettent de pointer vers le bon
dossier du serveur web hébergeant plusieurs sites.

Chercher à consulter via un navigateur, l'ip du serveur, n'a pas de sens
dans mon cas.
Quel est le site qui va être affiché ?
Mon site principale, mon wiki, mon rendu FTP, mon site de jeu, mon
redmine, mon site écolo, ou autre ?

Donc, la navigation doit se faire via le domaine, et, non pas par l'ip
depuis le navigateur.
G2PC (12/02/2020, 16h10)
> C'est au niveau du protocole HTTP/1.1 ou mieux qu'on peut agir (le
[..]
> Et si G2PC utilise une librarie serveur Web comme libonion
> <http://coralbits.com/static/onion/>, c'est faisable aussi.
> Cordialement


Je ne comprend pas le renvoie vers HTTP et la RFC que tu mentionnes.
Je parlais initialement de Fail2ban et tu me renvoies vers le protocole
HTTP.

Tu me conseils de lire la documentation de Apache...
Un peu comme le compte rendu que j'ai fais de mes lectures, ici, je
suppose :
[..]

Donc, évidemment, si je pose une question sur Fail2ban et Apache, c'est
pour avoir une piste de recherche, un conseil, un tutoriel, au moins un
ensemble de mots clés complémentaires à ceux déjàévoqués, et, pas pour
que l'on me renvoie sur la page principale de Apache pour y lire toute
la documentation de Apache, sans savoir quoi chercher, alors que la
question initiale portait tout de même sur Fail2ban.

Par contre, si des experts veulent relire ma synthèse, pour identifier
des erreurs ou des fautes d'orthographe, libre à vous.

[..]

En attendant, je vais donc continuer mes lectures sur Fail2ban à ce
moment la, et, laisser tomber ma règle personnalisée, pour me concentrer
sur la règle apache-auth.
Maxime G. (12/02/2020, 16h50)
Je ne comprends pas la complexité des propositions précédentes.

Simplement:
Tu pointes ton vhost default vers une page de ton choix (blanche ou avec script de redirection ou redirect apache dans levhost).
Dans tous les cas les autres vhosts avec domaines pointent vers des repertoires (avec cgi ou autre).

Si quelqu'un vient get / sur IP sans précédence domaine il aura la page par défaut de ton choix.
Si quelqu'un vient get / sur IP avec précédence il sera envoyé vers le repertoire du vhost domaine qui va lui charger le bon site.

Fail2ban les IP sources qui viennent sur ton serveur estune très mauvaise idée.
Si iptables vient à missmatch sur le domaine réclamé il va ban le visiteur ou +, car avec les réseaux NATés tu risques de bannir plusieurs centaines de clients en trafic (réseaux mobiles par exemple)

Maxime.

12 février 2020 15:01 "G2PC" <g2pc> a écrit:
[..]
Pierre L. (13/02/2020, 22h00)
Et en mettant un fichier index.html qui redirige automatiquement le
visiteur vers le site de ton choix...
ici, content="0 pour dire que c'est au bout de 0 seconde...
url= pour le site vers lequel le visiteur sera automatiquement redirigé.
À coller à l'emplacement de ton site par défaut.

<!DOCTYPE html>
<html lang="fr">
<head>
    <meta charset="utf-8">
    <meta name="robots" content="index, follow">
    <meta http-equiv="Refresh" content="0;
url=https://www.visionduweb.fr/" />
    <title>Vision du web</title>
</head>
<body>

</body>
</html>

Le 12/02/2020 à 14:46, G2PC a écrit :
Discussions similaires
Interdire le port du voile

consultation du group via serveur Free

Consultation de fichiers placés sur un serveur

[Apache] Le serveur n'a pu se lancer : un autre serveur utilise le port requis


Fuseau horaire GMT +2. Il est actuellement 23h18. | Privacy Policy