apache allow/deny list werkt niet met ipv6 - Serversoftware en clouddiensten

Vraag

maandag 2 september 2024 10:34

Acties:

0 Henk 'm!

>.< >.< >.< >.<

Topicstarter

ik heb veel vhosts met apache
maar zodra je een ssl maakt is er een db met je hostname op het web dus gaan bots er op scannen.

Ik heb een allow/deny list functionaliteit op mijn apache2 server gezet en dit werkt prima. tot dat ik ipv6 aan zet.

ik voeg de ipv6 toe van een nieuw lijst naar de allow lijst en ik wordt geredirect naar noaccess.

iemand een idee hoe ik dit kan fixen. of dit kan debuggen?

code:

<IfModule mod_ssl.c>
<VirtualHost *:443>
 ServerName  mijn sub hostname
RewriteEngine on
# Some rewrite rules in this file were disabled on your HTTPS site,
# because they have the potential to create redirection loops.


    DocumentRoot /var/www/noaccess
    <Directory "/var/www/noaccess">
        Options FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>

  # Define RewriteMap to read allowed IPs from file
    RewriteMap allowedips txt:/etc/apache-allow/allowed_ips.conf

    # Check if the requester's IP is in the allowed IPs
    RewriteCond %{REMOTE_ADDR} ^(.+)$
    RewriteCond %{REMOTE_ADDR} !^192\.168\.|^10\.
    RewriteCond ${allowedips:%1|NOT-FOUND} =NOT-FOUND

    RewriteRule ^(.*)$ /var/www/noaccess/index.php [L]

    # If IP is in allowed IP ranges, perform reverse proxy
    ProxyPass / enz enz enz
   enz enz
</VirtualHost>
</IfModule>

hier een voorbeeld van de inhoudt van allowed_ips.conf
(maar dan zijn dit ip adressen van mijn deny list)

code:

1 2	34.1.34.91 91.34.1.34.bc.googleusercontent.com. 2408:8207:1920:a80:c59e:7bb8:5bd5:b9da 2408:8207:1920:a80:c59e:7bb8:5bd5:b9da

>.< >.< >.< >.<

Alle reacties

maandag 2 september 2024 11:23

Acties:

0 Henk 'm!

GarBaGe

Wellicht heb je last van de Apache escaping en dien je de NE-flag te gebruiken?
https://httpd.apache.org/docs/2.4/rewrite/flags.html#flag_ne

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

maandag 2 september 2024 12:43

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

zodra je een ssl maakt is er een db met je hostname op het web

Hoe bedoel je? Bedoel je DNS? Dat is een van de vereiste om een fatsoenlijk certificaat te hebben, maar geen harde must want je kan net zo goed een self-signed cert maken die ook op IP matched. Je krijgt dan alleen wel een melding dat het certificaat niet gevalideerd kan worden.
Voor het crawlen van bots heeft het geen invloed, ze vinden je toch wel.

Voor je probleem, heb je al je logs bekeken? Documentatie van Apache gelezen over matchen van IPv6 adressen? Gedacht aan de privacy extentie van IPv6?

Je vraag is tevens over een stuk server software, je kan Apache namelijk net zo goed op Windows draaien. Het heeft daarom geen directe relatie met Linux. Dit topic verplaats ik dan ook naar het juiste forum. LNX -> SSC.

[ Voor 4% gewijzigd door Hero of Time op 02-09-2024 12:44 ]

Commandline FTW | Tweakt met mate

maandag 2 september 2024 13:40

Acties:

0 Henk 'm!

daft_dutch

>.< >.< >.< >.<

Topicstarter

vreemd. (in mijn pause naar gekeken)
alle ipv6 ip addressen verwijderd.
opnieuw verbinding gemaakt. ipv6 in logs.
voeg toe aan white list.
werkt.

Geen idee waarom die het eerst niet deed.

>.< >.< >.< >.<

maandag 2 september 2024 13:52

Acties:

0 Henk 'm!

daft_dutch

>.< >.< >.< >.<

Topicstarter

Hero of Time schreef op maandag 2 september 2024 @ 12:43:
[...]

Hoe bedoel je? Bedoel je DNS? Dat is een van de vereiste om een fatsoenlijk certificaat te hebben, [...]
Voor het crawlen van bots heeft het geen invloed, ze vinden je toch wel.

[...]

Als je een publieke wildcard hostname hebt. is er geen enkele web registratie naar een eventueel sub domain. dus kunnen web crawlers je ook niet vinden. Immers er is geen enkele verwijzing online naar jou sub domein.

Tenzij je een geregisseerd ssl certificaat hebt dan staat jouw sub domain naam in een publieke database. Wat webcrawlers gebruiken.

Als je dat niet wil moet je naast een wild card domain ook een wildcard ssl certificaat hebben wat pleuris duur is. of self signed certificaten wat telkens lastiger wordt.

>.< >.< >.< >.<

maandag 2 september 2024 14:08

Acties:

+1 Henk 'm!

Snow_King

Konijn is stoer!

Hero of Time schreef op maandag 2 september 2024 @ 12:43:
[...]

Hoe bedoel je? Bedoel je DNS? Dat is een van de vereiste om een fatsoenlijk certificaat te hebben, maar geen harde must want je kan net zo goed een self-signed cert maken die ook op IP matched. Je krijgt dan alleen wel een melding dat het certificaat niet gevalideerd kan worden.
Voor het crawlen van bots heeft het geen invloed, ze vinden je toch wel.

Een valide certificaat komt in een centrale db te staan die publiek bekend is. Zodra je dus een Let's Encrypt (voorbeeld) cert aanvraagt kom deze terecht: https://www.ncsc.nl/actue.../certificate-transparancy

@daft_dutch Waarom gebruik je mod_rewrite en niet gewoon de Allow/Deny van Apache en match je daar op CIDRs

Order Deny,Allow
Deny from All
Allow from 111.222.333.444
Allow from ::1

maandag 2 september 2024 17:37

Acties:

0 Henk 'm!

daft_dutch

>.< >.< >.< >.<

Topicstarter

Kan ik met home assistant host toe voegen zonder de config te wijzigen

>.< >.< >.< >.<

maandag 2 september 2024 18:45

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Welke hosts zou je willen/moeten toevoegen na je initiële configuratie? Als je met je mobiel er bij wilt, zorg je voor VPN omdat je anders het hele mobiele netwerk beschikbaar moet maken (en dat wil je logischerwijs niet). En voor IPv6 doe je al je subnet als je het verstandig aanpakt.

Commandline FTW | Tweakt met mate

woensdag 4 september 2024 10:17

Acties:

0 Henk 'm!

daft_dutch

>.< >.< >.< >.<

Topicstarter

Hero of Time schreef op maandag 2 september 2024 @ 18:45:
Welke hosts zou je willen/moeten toevoegen na je initiële configuratie? Als je met je mobiel er bij wilt, zorg je voor VPN omdat je anders het hele mobiele netwerk beschikbaar moet maken (en dat wil je logischerwijs niet). En voor IPv6 doe je al je subnet als je het verstandig aanpakt.

goede usecase is jellyfin. niemand hoeft te weten dat ik een jellyfin service heb. en als je met vpn verbinding maakt kan je niet via je wifi verbinding maken met de lokale chromecast.

Ik ben ergens maak verbinding met jellyfin. ga naar home assistant klik op de laatste toegevoerde hostname van de allow new hostnames lijst toe.
en ik heb verbinding met jellyfin.

>.< >.< >.< >.<

woensdag 4 september 2024 12:16

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Dus je neemt je Chromecast mee naar een vriend, maakt verbinding met je eigen server en je wilt dan dat je Chromecast hier bij kan. En het toevoegen doe je via je telefoon dan neem ik aan?

Ik ben niet zo bekend met Chromecast en Jellyfin, maar kan de Chromecast niet zelf een VPN opbouwen naar je huis en zo bij je Jellyfin komen? Je zou dan met lokale apparaten op hetzelfde netwerk als de Chromecast nog steeds bij de Cast kunnen.

Het klinkt iig wel allemaal als een aardige edge case. Zeker omdat je schijnbaar HA bereikt via Jellyfin. Of je maakt er apart verbinding mee. Wat dan zou betekenen dat je die ook al voor de halve wereld open hebt gezet (of die wel via VPN hebt afgeschermd).

Ik probeer mee te denken met een oplossing. Ik ken namelijk alleen mijn eigen situatie hoe ik zaken thuis benader en dat is met Wireguard en m'n telefoon, meer niet. Heb ook geen speciale diensten of wat dan ook, alleen Pi-hole en Domoticz.

Commandline FTW | Tweakt met mate

woensdag 4 september 2024 12:45

Acties:

0 Henk 'm!

daft_dutch

>.< >.< >.< >.<

Topicstarter

helaas. sommige cloud diensten voor mijn home assistent vereisten dat die open is voor de wereld. google en samsung smarthings. home assistant zit wel op de deny list. en die is aardig gevuld. (iedereen die op bijvoorbeeld mijn intranet sub domein kijkt wordt automatisch aan de deny list toegevoegd. (dat zijn er al een aantal))

>.< >.< >.< >.<

Pagina: 1

Reageer