Apache httpd: Bagaimana saya bisa menolak dari semua, Izinkan dari subnet, tetapi menolak dari IP dalam subnet itu?

Saya menjalankan CentOS 5.5 dengan stok Apache httpd-2.2.3.

Saya telah mengaktifkan mod_status di Lokasi / status server. Saya ingin mengizinkan akses ke Lokasi tunggal ini dengan cara berikut:

1. Tolak semua
2. Izinkan dari subnet 192.168.16.0/24
3. Tolak dari IP 192.168.16.100, yang berada dalam subnet 192.168.16.0/24.

1 & 2 itu mudah. Namun, karena saya "Izinkan dari 192.168.16.0/24", apakah mungkin untuk Menolak dari 192.168.16.100?

Saya mencoba menambahkan pernyataan Deny untuk 192.168.16.100 tetapi tidak berhasil. Berikut adalah konfigurasi yang relevan:

<Location /server-status>
    SetHandler server-status
    Order Allow,Deny
    Deny from  all
    Deny from  192.168.16.100 # This does not deny access from 192.168.16.100
    Allow from 192.168.16.0/24
</Location>

Atau:

<Location /server-status>
    SetHandler server-status
    Order Allow,Deny
    Deny from  all
    Deny from  192.168.16.100 # This does not deny access from 192.168.16.100
    Allow from 192.168.16.0/24
</Location>

Namun, ini tidak mencegah akses ke halaman khusus ini, seperti yang ditunjukkan dalam Access log:

www.example.org 192.168.16.100 - - [11/Mar/2011:16:01:14 -0800] "GET /server-status HTTP/1.1" 200 9966 "-" "

Menurut manual untuk mod_authz_host :

Memungkinkan menyangkal

Pertama, semua arahan Allow dievaluasi; setidaknya satu harus cocok, atau permintaan ditolak. Selanjutnya, semua arahan Tolak dievaluasi. Jika ada yang cocok, permintaan ditolak

Alamat IP cocok dengan arahan Tolak, jadi bukankah permintaan itu harus ditolak?

Menurut tabel pada halaman mod_authz_host, alamat IP ini harus "Cocokkan berdua Izinkan & Tolak", dan dengan demikian aturan "Kontrol kecocokan akhir: Ditolak" harus berlaku.

    Match Allow, Tolak hasil Tolak, Bolehkan hasil
    Cocokkan saja yang diizinkan. Permintaan diizinkan. Permintaan diizinkan
    Hanya Tolak Pertandingan. Permintaan ditolak
    Tidak ada kecocokan Default ke arahan kedua: Ditolak Default ke arahan kedua: Diizinkan
    Cocokkan Baik & Tolak Kontrol pertandingan final: Ditolak Kontrol pertandingan final: Diizinkan

Saya belum diuji, tapi saya pikir Anda hampir sampai.

<Location /server-status>
    SetHandler server-status
    Order Allow,Deny
    Deny from  192.168.16.100
    Allow from 192.168.16.0/24
</Location>

Deny from alltidak dibutuhkan. Bahkan itu akan mengacaukan karena semuanya akan cocok all, dan dengan demikian ditolak (dan saya pikir Apache berusaha menjadi pintar dan melakukan sesuatu yang bodoh). Saya selalu menemukan Apache Order, Allowdan Denyarahan membingungkan, jadi selalu memvisualisasikan hal-hal dalam sebuah tabel (diambil dari dokumen ):

Cocokkan | Izinkan, Tolak hasil | Tolak, Izinkan hasil
-------------------------------------------------- -----
Hanya izinkan | Diizinkan | Diizinkan
Tolak saja | Ditolak | Ditolak
Tidak ada yang cocok | Default: Ditolak | Default: Diizinkan
Cocokkan keduanya | Pertandingan final: Ditolak | Pertandingan final: Diizinkan

Dengan pengaturan di atas:

• Permintaan dari 192.168.16.100 mendapatkan "Cocokkan keduanya" dan karenanya ditolak.
• Permintaan dari 192.168.16.12 mendapatkan "Hanya izinkan" dan karenanya diizinkan.
• Permintaan dari 123.123.123.123 mendapatkan "Tidak cocok" dan karenanya ditolak.

Saya mungkin akan melihat juga menambahkan aturan IPTables untuk ini untuk menolak host tunggal pada port 80, menyangkal dari semua, dan mengizinkan subnet.

Anda seharusnya tidak memiliki masalah dalam menyiapkan aturan penolakan dari alamat tertentu setelah Anda mengizinkan subnet. Lakukan saja dalam urutan itu.

Bisakah Anda menggunakan php? Jika demikian, tambahkan pernyataan php untuk keluar / mengarahkan ulang untuk satu alamat IP tertentu

Contoh:

$ deny = array ("111.111.111", "222.222.222", "333.333.333");

if (in_array ($ _SERVER ['REMOTE_ADDR'], $ deny))

{header ("location: http://www.google.com/ ");

keluar();

Referensi: http://perishablepress.com/press/2007/07/03/how-to-block-ip-addresses-with-php/