Назад | Перейти на главную страницу

Apache 2.4 - Как ограничить трафик (по IP-адресу) для всех запросов, кроме базового пути?

У меня есть набор сценариев отладки в /var/www которые отображают полезную информацию, которая помогает исследовать проблемы на сервере, однако эта же информация потенциально конфиденциальна, поэтому я не хочу, чтобы она была общедоступной.

В DocumentRoot является /var/www/, который выглядит так:

$ ls -1 /var/www/
apc.php
index.php
linux-dash
opcache.php
phpinfo.php

Чтобы защитить эту информацию, я пытаюсь настроить apache так, чтобы он принимал запросы только с моего IP-адреса (который для этого примера 192.168.33.1).

Сложность в том, что я хочу, чтобы запросы www.example.com и www.example.com/index.php ответить 200 независимо от того, с какого IP они исходят.

Мой status.conf Конфигурация виртуального хоста в настоящее время выглядит так:

ServerName      www.example.com

<VirtualHost *:80>
    ServerName      www.example.com

    DocumentRoot    /var/www
    <Directory      /var/www>
        Options FollowSymLinks
        AllowOverride All
        Require ip 192.168.33.1
    </Directory>

    <LocationMatch ^/(index.php)?$>
        Require all granted
    </LocationMatch>

    <Location /server-status>
        SetHandler server-status
    </Location>
</VirtualHost>

Это частично работает, так как позволяет отвечать 200 на запросы к www.example.com и www.example.com/index.php с любого IP-адреса запроса, однако он неправильно отвечает 403 на все другие запросы, даже если они запрашиваются с IP-адреса из белого списка:

$ curl -I -H 'Host: www.example.com' 192.168.33.10
HTTP/1.1 200 OK

$ curl -I -H 'Host: www.example.com' 192.168.33.10/index.php
HTTP/1.1 200 OK

$ curl -I -H 'Host: www.example.com' 192.168.33.10/phpinfo.php
HTTP/1.1 403 Forbidden

$ curl -I -H 'Host: www.example.com' 192.168.33.10/opcache.php
HTTP/1.1 403 Forbidden

$ curl -I -H 'Host: www.example.com' 192.168.33.10/server-status
HTTP/1.1 403 Forbidden

Из access.log:

192.168.33.1 - - [15/Jun/2015:09:59:13 +0000] "HEAD / HTTP/1.1" 200 148 "-" "curl/7.37.1"
192.168.33.1 - - [15/Jun/2015:09:59:32 +0000] "HEAD /index.php HTTP/1.1" 200 148 "-" "curl/7.37.1"
192.168.33.1 - - [15/Jun/2015:09:59:47 +0000] "HEAD /phpinfo.php HTTP/1.1" 403 139 "-" "curl/7.37.1"
192.168.33.1 - - [15/Jun/2015:10:00:03 +0000] "HEAD /opcache.php HTTP/1.1" 403 139 "-" "curl/7.37.1"
192.168.33.1 - - [15/Jun/2015:10:00:22 +0000] "HEAD /server-status HTTP/1.1" 403 139 "-" "curl/7.37.1"

Какие изменения мне нужно внести в мою конфигурацию Apache, чтобы добиться желаемого поведения?

Ваша конфигурация выглядит хорошо - попробуйте перезагрузить Apache, если есть изменение конфигурации, которое не вступило в силу.

Это потому, что вы вставляете LocationMatch Просто для index.php. LocationMatch может быть определен как регулярное выражение, поэтому вы можете попробовать добавить регулярное выражение для всех файлов, которые вам понадобятся.

Что-то вроде:

<LocationMatch ^/(index.php|phpinfo.php|opcache.php)?$>
        Require all granted
</LocationMatch>