Apache .htaccess требует недостаточно строгого IP-адреса с IPv6

Daxorp

16.03.2023, 17:56

Предположим, мой IPv6 — 1111:2222:3333:4444:5555:6666:7777:8888.

Я могу написать любую из этих строк в файле Apache .htaccess:

Требовать IP-адрес 1111:2222:3333:4444:0000:0000:0000:0000
Требуется IP-адрес 1111:2222:3333:0000::/64
Требовать IP-адрес 1111:2222:0000:0000::/64
Требовать IP 1111:2222:0000:0000:

Я все еще могу получить доступ к сайту. Apache, кажется, тестирует только 2 первых блока IPv6. Я что-то пропустил? Как я могу действительно ограничить свой IP?

128

0 + 0

IPv6

апач-2.4

Рейтинг:1

Server

John Mahowald

21.03.2023, 02:55

Ни один из ваших примеров IP-адресов не находится в одной и той же подсети / 64, они не могут все совпадать с вашим IP-адресом. Сравните 3-ю и 4-ю группу цифр.

Начиная с IP-адреса, отрежьте младшие цифры.Используйте количество оставшихся битов в нотации косой черты CIDR. Напишите рекомендуемую форму с :: сжатие как можно большего количества нулей.

Например, взять IP-адрес 2001: db8: 1622: c7bb: 5919: 8f34: f78e: аадд Сокращение его наполовину оставляет 64 значащих бита, поэтому:

Требовать IP-адрес 2001:db8:1622:c7bb::/64

Этот /64 должен быть вашим, знакомым как одна из ваших многочисленных подсетей. Список разрешений только с одним IP-адресом не полностью использует адресное пространство. Вместо этого поместите хосты в /64 в соответствии с их назначением или зоной безопасности.

mod_authz_host, конечно же, поддерживает списки разрешенных IP-адресов. Если вам действительно нужен один IP-адрес, он может это сделать.

0 + 0

Daxorp

22.03.2023, 14:15

Привет спасибо. «Они не могут все совпадать», не должны, но совмещаются! Сейчас попробую еще раз, Require ip 2001:db8:1111:1111::/64 позволяет мне (и это не 1111:1111!). Но если я изменю блок 2d (db8 -> db9), он окончательно заблокирует меня. Я не понимаю.

Ответить

John Mahowald

23.03.2023, 20:29

Прочитайте журналы доступа httpd, чтобы получить фактически используемый адрес. Вручную сравните их, чтобы найти все совпадения по префиксам в любом из ваших операторов «Требуется ip» (соберите точное значение). Протестируйте с IP-адресом, сильно отличающимся от вашего, например, с другим интернет-провайдером или с настройкой сети ULA.

Ответить

Daxorp

25.03.2023, 14:42

Есть только одно правило «Требовать ip». С очень разными IP-адресами я не могу получить доступ, но пока есть 2001: db8: при запуске, я могу ....Возможно, это связано с настройкой хостинга, но я в этом сомневаюсь.

Ответить

Admin

Этот вопрос на других языках:

EN: Apache .htaccess require ip not strict enough with IPv6

TH: Apache .htaccess ต้องการ ip ไม่เข้มงวดพอกับ IPv6

RO: Apache .htaccess necesită ip nu este suficient de strict cu IPv6

RU: Apache .htaccess требует недостаточно строгого IP-адреса с IPv6

VI: Apache .htaccess yêu cầu ip không đủ nghiêm ngặt với IPv6

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.