Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

C'est résolu.
En fait, mon problème semble être lié au fait que mon Vhost qui servait
à configurer l'adresse ip du serveur, était nommé 139.xx.xxx.xx.conf
Je pensais judicieux qu'il soit nommé ainsi, car il était alors le tout
premier VHost a être écouté.

En fait, à l'usage, je me suis rendu compte que cela posait des
problèmes, lorsque j'ai changé les DNS d'un de mes domaines pour ceux de
Cloudflare.
En effet, j'étais arrivé à une configuration satisfaisante, pour mon VPS
OVH et les domaines OVH. J'avais bien réussi à redirigé le port 80 vers
une erreur 403 et le port 443 vers une erreur 403.
Par contre, je n'arrivais toujours pas à rediriger le port 443 vers le
domaine de mon choix, avec une erreur qui me disait que le certificat ne
matchait pas.

C'est quand j'ai changé les DNS d'un des domaines pour cloudflare, et,
que ce domaine en question est devenu inaccessible que j'ai vraiment du
creuser pour comprendre.

En fait, en renommant mon VHost en xyz-139.xx.xxx.xx.conf ce qui
possitionne mon VHost à la fin de la liste, je n'ai plus de soucis.
Les domaines sont bien redirigés vers les VHosts à l'écoute des noms de
domaines, puis, par défaut, c'est ce dernier VHost qui travail, sans
créer de panne.

Après avoir renommé ce Vhost en xyz-139.xx.xxx.xx.conf j'ai pu ajouter
la redirection dans le VirtualHost à l'écoute du port 443, vers le
domaine de mon choix, sans rencontrer de problème de certificat.
Cette fois, j'arrive bien, ET à bloquer en 403 une consultation depuis
l'IP, si je le souhaite, ET, rediriger vers le domaine de mon choix.

J'ai même pu faire les deux, je bloque sur une 403 puis je redirige,
mais, pour un visiteur, on ne voit que la redirection.
Par contre, au niveau des logs, je suppose qu'on a un message concernant
l'erreur 403 ( pas certain ).
En tout cas, ma page erreur 403 forbidden.php m'envoie un mail tout de
même, donc, je suppose que oui, la page 403 match, les logs tracent la
consultation comme une erreur 403, puis je vois directement mon domaine
choisi pour être affiché.

Ainsi, ça me permet d'utiliser Fail2ban sur les IP en provenance de
l'adresse IP du serveur, en considérant cette provenance comme
illégitime mais en déservant malgré tout un contenu, tant que le
visiteur n'est pas bloqué.



> Le 15/02/2020 à 12:39, Maxime G. a écrit :
>> Tu n'as pas de virtualhost pour ton 139.99.173.195:443, il est
>> possible que apache serve soit le default soit le premier virtualhost
>> par ordre alphabetique.
>> Tu as juste a reprendre ton virtualhost du 139.99.173.195:80 pour
>> 139.99.173.195:443 en lui rajoutant un certificat ssl dans la conf
>> (qui ne matchera pas pour le client CAR c'est un appel par IP et non
>> par domaine).
>
> Le bout du tunnel ?
> Alors, ok, ça m'intéresse, mais, je ne comprend pas bien.
>
> Ce certificat, je ne peux pas le créer avec let's encrypt, on est bien
> d'accord ? Let's encrypt est conçu pour les noms de domaines, je me
> trompe ?
> Dès lors, tu me conseillerais de faire comment ?
>
> Je ne comprend pas quand tu me dis que le certificat ne va pas
> matcher, alors, comment je dois comprendre l'utilité de ce certificat,
> et, sa mise en place, si ça ne match de toute façon pas.
> C'est un peu obscur mais je crois qu'on avance.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Le 15/02/2020 à 12:39, Maxime G. a écrit :
> Tu n'as pas de virtualhost pour ton 139.99.173.195:443, il est
> possible que apache serve soit le default soit le premier virtualhost
> par ordre alphabetique.
> Tu as juste a reprendre ton virtualhost du 139.99.173.195:80 pour
> 139.99.173.195:443 en lui rajoutant un certificat ssl dans la conf
> (qui ne matchera pas pour le client CAR c'est un appel par IP et non
> par domaine).

Le bout du tunnel ?
Alors, ok, ça m'intéresse, mais, je ne comprend pas bien.

Ce certificat, je ne peux pas le créer avec let's encrypt, on est bien
d'accord ? Let's encrypt est conçu pour les noms de domaines, je me trompe ?
Dès lors, tu me conseillerais de faire comment ?

Je ne comprend pas quand tu me dis que le certificat ne va pas matcher,
alors, comment je dois comprendre l'utilité de ce certificat, et, sa
mise en place, si ça ne match de toute façon pas.
C'est un peu obscur mais je crois qu'on avance.

Merci.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[Maxime G.]

Tu n'as pas de virtualhost pour ton 139.99.173.195:443, il est possible que 
apache serve soit le default soit le premier virtualhost par ordre alphabetique.
Tu as juste a reprendre ton virtualhost du 139.99.173.195:80 pour 
139.99.173.195:443 en lui rajoutant un certificat ssl dans la conf (qui ne 
matchera pas pour le client CAR c'est un appel par IP et non par domaine).
15 février 2020 01:54 "G2PC" mailto:g...@visionduweb.com?to=%22G2PC%22%20)> a écrit:
 Expliques-nous simplement ce que tu veux faire, rediriger ton IP vers un 
domaine ou l'envoyer sur une page d'erreur personnalisée ou répondre un 403 ??

Un truc simple.

Désolé, je n'ai pas du être assez précis et ma demande prête peut être 
à confusion.
Objectif :

Soit interdire tous les clients sur ip:80 et ip:443
Soit rediriger ip:80 et ip:443 vers un site principale
Dans les deux cas, je ne sais pas traiter la règle que je dois mettre en place 
dans le VHost pour IP:443
Actuellement, j'ai verrouillé la redirection IP:80 qui renvoie bien 
effectivement vers une page 403.

Alors, effectivement, j'ai bien ici un DocumentRoot de renseigné.
Est ce que c'est nécessaire ? Je suppose que ça l'est, pour renseigner le 
dossier qui contient le fichier 403-forbidden.php, l'image 403-forbidden.jpg et 
le favicon.ico ( 3 fichiers donc, qui eux ont été autorisés. )

Voilà bien la configuration appliquée actuellement :
 DocumentRoot /var/www/139.99.173.195 # 
Erreur 403 - Forbidden. FICHIERS AUTORISES POUR LA PAGE 403-FORBIDDEN.PHP 
 Require all granted   
Require all granted   # INTERDICTION POUR LA RACINE 
Require all denied   # 
INTERDICTION POUR TOUT LE SITE ( L'ip :80 ) Require all denied  # 
Rediriger l'adresse IP vers le domaine par défaut en https. # REDIRECTION vers 
le site principale désactivée actuellement. # 
#RewriteEngine On #RewriteCond %{HTTP_HOST} ^139.99.173.195$ #RewriteRule 
^(.*)$ https://www.visionduweb.fr$1 (https://www.visionduweb.fr%241) 
[QSA,L,R=301] # ErrorDocument 403 /403-forbidden.php # ERRORDOCUMENT 
QUI POINTE VERS 403-FORBIDDEN.PHP 
Actuellement, je n'ai AUCUNE règle pour le Vhost ip:443

https://139.99.173.195/ (https://139.99.173.195/) renvoie sur le contenu du 
domaine ethernium.fun (https://ethernium.fun)
C'est toujours https://139.99.173.195/ (https://139.99.173.195/) qui est 
affichée dans la barre URL. Cela explique le problème de hotlinking. Cela 
n'explique pas pourquoi, par défaut, https://139.99.173.195/ 
(https://139.99.173.195/) pointe vers le contenu de ethernium.fun
alors que
(http://) 139.99.173.195:443/ renvoie sur Bad Request
Le 14/02/2020 à 14:23, Maxime G. a écrit :Comme expliqué par Apache, le port 
443 est dedié à TLS, tu fais porter à ton virtualhost un certificat, quel qu'il 
soit, soit le signé de letsencrypt soit un autosigné, dans tous les cas ça ne 
matchera pas et il y aura une erreur côté client, après bypass de l'erreur le 
client se prendra soit le redirect en HTTP soit le redirect HTML comme proposé 
précédemment.
Je n'ai pas bien compris ton approche.
Pourquoi " ça ne matchera pas " ?

Déjà, concernant mon IP, je ne pense pas pouvoir lui créer un certificat let's 
encrypt, qui est je crois, réservé pour les noms de domaines, je me trompe ?

Tu dis que le client va prendre la redirection HTTP, soit, HTML, ok, 
c'est donc la situation que j'avais déjà pu réalisée.

Je suis toujours désireux de comprendre comment traiter une redirection pour :
https://139.99.173.195 (https://139.99.173.195) -> https://www.visionduweb.fr 
(https://www.visionduweb.fr)
(http://) 139.99.173.195:443/ -> https://www.visionduweb.fr 
(https://www.visionduweb.fr)
Je ne reçois aucun redirect http sur mes tests de ton IP.
Par contre il sert bien ta page d'erreur personnalisée, c'est que t'as du 
spécifier inutilement un root document quelque part en doublon de conf.

Pour ton rewrite en 80, essayes ça:

RewriteCond %{HTTP_HOST} ^139.99.173.195$
RewriteRule ^(.*)$ https://www.visionduweb.fr/$1 
(https://www.visionduweb.fr/%241) [L,R=301]
14 février 2020 14:02 "G2PC" mailto:g...@visionduweb.com?to=%22G2PC%22%20)> a écrit:
Merci de vos retours, c'est sympa de tenter de m'aider à avancer ça.
Magré tout, je crois qu'on est sur un autre type de problème.

Encore une fois, je n'ai pas de difficulté pour mettre en place une redirection 
HTTP, dès lors ou l'adresse ip de mon serveur est consultée sur le port 80.

C'est bien la redirection IP:443 qui me fait m'interroger, sur la façon de la 
gérer, puisque pour commencer, je n'ai pas de certificat let's encrypt pour mon 
ip, mais bien uniquement pour mes domaines.
Est ce que le problème ne vient pas tout simplement de la ?

 # Rediriger l'adresse IP vers le 
domaine par défaut en https.  RewriteEngine On 
RewriteCond %{HTTP_HOST} ^139.99.173.195$ RewriteRule ^(.*)$ 
https://www.visionduweb.fr$1 (https://www.visionduweb.fr%241) [QSA,L,R=301] 
 
Par exemple, actuellement (Sans aucune règle VHost pour IP:443), si je tente 
d'accéder à IP:443 j'ai le 

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> Iptables
> Tu cron un script (20min par exemple) qui vide et reinsert tes règles
> "--src ton.noip.ddns.net " ACCEPT sur ta
> table "INDYNAMIC" par exemple.
> Le reste est DROP

Alors la, j'ai pas compris ton langage.
A quel moment il est question d’empêcher la consultation de IP:443 ? Et,
comment je met ça en place.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Le 14/02/2020 à 15:19, Maxime G. a écrit :
> Incompréhensible bazar !
>
> De plus http://139.99.173.195/ ou https://139.99.173.195/ ne donnent
> plus aucun résultats à présent, l'host ferme le port immédiatement
> sans que le client puisse envoyer d'instructions et sans raison...
>
>

Bah, normal, tu t'es fais ban, après 3 tentatives ;)
C'est la règle apache-auth de fail2ban qui identifie l'erreur 403.


> Expliques-nous simplement ce que tu veux faire, rediriger ton IP vers
> un domaine ou l'envoyer sur une page d'erreur personnalisée ou
> répondre un 403 ??
>
> Un truc simple.

J'ai bien rééxpliqué précédemment.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[Florian Blanc]

Iptables
Tu cron un script (20min par exemple) qui vide et reinsert tes règles
"--src ton.noip.ddns.net" ACCEPT sur ta table "INDYNAMIC" par exemple.
Le reste est DROP

Le ven. 14 févr. 2020 à 17:47, Maxime G.  a écrit :

> Incompréhensible bazar !
>
> De plus http://139.99.173.195/ ou https://139.99.173.195/ ne donnent plus
> aucun résultats à présent, l'host ferme le port immédiatement sans que le
> client puisse envoyer d'instructions et sans raison...
>
>
> Expliques-nous simplement ce que tu veux faire, rediriger ton IP vers un
> domaine ou l'envoyer sur une page d'erreur personnalisée ou répondre un 403
> ??
>
> Un truc simple.
>
>
>
>
>
> 14 février 2020 15:11 "G2PC"  > a
> écrit:
>
> Par contre, je viens de constater quelque chose avec ma configuration
> actuelle :
> https://139.99.173.195/ renvoie actuellement, sur https://ethernium.fun (
> + les images du site sont remplacées par la protection anti hotlinking, ça
> n'a pas trop de sens pour moi, puisque l'on est bien sur ethernium.fun,
> hors, si on appel directement ethernium.fun, les images s'affichent. Il y a
> donc un probleme de redirection ! )
>
> Oups, non.
> https://139.99.173.195/ ne renvoie pas sur le domaine
> https://ethernium.fun mais uniquement sur le contenu du domaine
> ethernium.fun
>
> C'est toujours https://139.99.173.195/ qui est affichée dans la barre
> URL. Cela explique le problème de hotlinking. Cela n'explique pas pourquoi,
> par défaut, https://139.99.173.195/ pointe vers le contenu de
> ethernium.fun
>
> alors que
> (http://) 139.99.173.195:443/ renvoie sur Bad Request
> Le 14/02/2020 à 14:23, Maxime G. a écrit :
>
> Comme expliqué par Apache, le port 443 est dedié à TLS, tu fais porter à
> ton virtualhost un certificat, quel qu'il soit, soit le signé de
> letsencrypt soit un autosigné, dans tous les cas ça ne matchera pas et il y
> aura une erreur côté client, après bypass de l'erreur le client se prendra
> soit le redirect en HTTP soit le redirect HTML comme proposé précédemment.
>
>
>
>

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[Maxime G.]

Incompréhensible bazar !

De plus http://139.99.173.195/ (http://139.99.173.195/) ou 
https://139.99.173.195/ (https://139.99.173.195/) ne donnent plus aucun 
résultats à présent, l'host ferme le port immédiatement sans que le client 
puisse envoyer d'instructions et sans raison...
Expliques-nous simplement ce que tu veux faire, rediriger ton IP vers un 
domaine ou l'envoyer sur une page d'erreur personnalisée ou répondre un 403 ??

Un truc simple.
14 février 2020 15:11 "G2PC" mailto:g...@visionduweb.com?to=%22G2PC%22%20)> a écrit:
Par contre, je viens de constater quelque chose avec ma configuration 
actuelle :
https://139.99.173.195/ (https://139.99.173.195/) renvoie actuellement, sur 
https://ethernium.fun (https://ethernium.fun) ( + les images du site sont 
remplacées par la protection anti hotlinking, ça n'a pas trop de sens pour moi, 
puisque l'on est bien sur ethernium.fun, hors, si on appel directement 
ethernium.fun, les images s'affichent. Il y a donc un probleme de redirection ! 
)

Oups, non.
https://139.99.173.195/ (https://139.99.173.195/) ne renvoie pas sur le domaine 
https://ethernium.fun (https://ethernium.fun) mais uniquement sur le contenu du 
domaine ethernium.fun (https://ethernium.fun)

C'est toujours https://139.99.173.195/ (https://139.99.173.195/) qui 
est affichée dans la barre URL. Cela explique le problème de hotlinking. Cela 
n'explique pas pourquoi, par défaut, https://139.99.173.195/ 
(https://139.99.173.195/) pointe vers le contenu de ethernium.fun 

alors que
(http://) 139.99.173.195:443/ renvoie sur Bad Request
Le 14/02/2020 à 14:23, Maxime G. a écrit :Comme expliqué par Apache, le port 
443 est dedié à TLS, tu fais porter à ton virtualhost un certificat, quel qu'il 
soit, soit le signé de letsencrypt soit un autosigné, dans tous les cas ça ne 
matchera pas et il y aura une erreur côté client, après bypass de l'erreur le 
client se prendra soit le redirect en HTTP soit le redirect HTML comme proposé 
précédemment.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> Par contre, je viens de constater quelque chose avec ma configuration
> actuelle :
> https://139.99.173.195/ renvoie actuellement, sur
> https://ethernium.fun ( + les images du site sont remplacées par la
> protection anti hotlinking, ça n'a pas trop de sens pour moi, puisque
> l'on est bien sur ethernium.fun, hors, si on appel directement
> ethernium.fun, les images s'affichent. Il y a donc un probleme de
> redirection ! )
>

Oups, non.
https://139.99.173.195/ ne renvoie pas sur le domaine
https://ethernium.fun mais uniquement sur le contenu du domaine
ethernium.fun

C'est toujours https://139.99.173.195/ qui est affichée dans la barre
URL. Cela explique le problème de hotlinking. Cela n'explique pas
pourquoi, par défaut, https://139.99.173.195/ pointe vers le contenu de
ethernium.fun


> alors que
> (http://) 139.99.173.195:443/ renvoie sur Bad Request
>
> Le 14/02/2020 à 14:23, Maxime G. a écrit :
>> Comme expliqué par Apache, le port 443 est dedié à TLS, tu fais
>> porter à ton virtualhost un certificat, quel qu'il soit, soit le
>> signé de letsencrypt soit un autosigné, dans tous les cas ça ne
>> matchera pas et il y aura une erreur côté client, après bypass de
>> l'erreur le client se prendra soit le redirect en HTTP soit le
>> redirect HTML comme proposé précédemment.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Désolé, je n'ai pas du être assez précis et ma demande prête peut être à
confusion.

Actuellement, j'ai verrouillé la redirection IP:80 qui renvoie bien
effectivement vers une page 403.

Alors, effectivement, j'ai bien ici un DocumentRoot de renseigné.
Est ce que c'est nécessaire ? Je suppose que ça l'est, pour renseigner
le dossier qui contient le fichier 403-forbidden.php, l'image
403-forbidden.jpg et le favicon.ico ( 3 fichiers donc, qui eux ont été
autorisés. )

Voilà bien la configuration appliquée actuellement :



DocumentRoot /var/www/139.99.173.195

# Erreur 403 - Forbidden. FICHIERS AUTORISES POUR LA PAGE 403-FORBIDDEN.PHP

Require all granted


Require all granted


 # INTERDICTION POUR LA RACINE
Require all denied

 # INTERDICTION POUR TOUT LE SITE ( L'ip :80 
)
Require all denied


# Rediriger l'adresse IP vers le domaine par défaut en https. # REDIRECTION 
vers le site principale désactivée actuellement.
#
#RewriteEngine On
#RewriteCond %{HTTP_HOST} ^139.99.173.195$
#RewriteRule ^(.*)$ https://www.visionduweb.fr$1 [QSA,L,R=301]
#

ErrorDocument 403 /403-forbidden.php # ERRORDOCUMENT QUI POINTE VERS 
403-FORBIDDEN.PHP




Par contre, je viens de constater quelque chose avec ma configuration
actuelle :
https://139.99.173.195/ renvoie actuellement, sur https://ethernium.fun
( + les images du site sont remplacées par la protection anti
hotlinking, ça n'a pas trop de sens pour moi, puisque l'on est bien sur
ethernium.fun, hors, si on appel directement ethernium.fun, les images
s'affichent. Il y a donc un probleme de redirection ! )
alors que
(http://) 139.99.173.195:443/ renvoie sur Bad Request

Le 14/02/2020 à 14:23, Maxime G. a écrit :
> Comme expliqué par Apache, le port 443 est dedié à TLS, tu fais porter
> à ton virtualhost un certificat, quel qu'il soit, soit le signé de
> letsencrypt soit un autosigné, dans tous les cas ça ne matchera pas et
> il y aura une erreur côté client, après bypass de l'erreur le client
> se prendra soit le redirect en HTTP soit le redirect HTML comme
> proposé précédemment.


Je n'ai pas bien compris ton approche.
Pourquoi " ça ne matchera pas " ?

Déjà, concernant mon IP, je ne pense pas pouvoir lui créer un certificat
let's encrypt, qui est je crois, réservé pour les noms de domaines, je
me trompe ?

Tu dis que le client va prendre la redirection HTTP, soit, HTML, ok,
c'est donc la situation que j'avais déjà pu réalisée.

Je suis toujours désireux de comprendre comment traiter une redirection
pour :
https://139.99.173.195 -> https://www.visionduweb.fr
(http://) 139.99.173.195:443/ -> https://www.visionduweb.fr

>
> Je ne reçois aucun redirect http sur mes tests de ton IP.
> Par contre il sert bien ta page d'erreur personnalisée, c'est que t'as
> du spécifier inutilement un root document quelque part en doublon de conf.
>
> Pour ton rewrite en 80, essayes ça:
>
> RewriteCond %{HTTP_HOST} ^139\.99\.173\.195$
> RewriteRule ^(.*)$ https://www.visionduweb.fr/$1 [L,R=301]
>
>
>
>
> 14 février 2020 14:02 "G2PC"  >
> a écrit:
>
> Merci de vos retours, c'est sympa de tenter de m'aider à avancer ça.
> Magré tout, je crois qu'on est sur un autre type de problème.
>
> Encore une fois, je n'ai pas de difficulté pour mettre en place
> une redirection HTTP, dès lors ou l'adresse ip de mon serveur est
> consultée sur le port 80.
>
> C'est bien la redirection IP:443 qui me fait m'interroger, sur la
> façon de la gérer, puisque pour commencer, je n'ai pas de
> certificat let's encrypt pour mon ip, mais bien uniquement pour
> mes domaines.
> Est ce que le problème ne vient pas tout simplement de la ?
>
>  # Rediriger l'adresse IP vers le domaine 
> par défaut en https.  RewriteEngine On RewriteCond 
> %{HTTP_HOST} ^139.99.173.195$ RewriteRule ^(.*)$ https://www.visionduweb.fr$1 
>  [QSA,L,R=301]  
>
>
> Par exemple, actuellement (Sans aucune règle VHost pour IP:443),
> si je tente d'accéder à IP:443 j'ai le message suivant sur Firefox :
>
> http://139.99.173.195:443/
>
>
>   Bad Request
>
> Your browser sent a request that this server could not understand.
> Reason: You're speaking plain HTTP to an SSL-enabled server port.
> Instead use the HTTPS scheme to access this URL, please.
>
> En même temps, je n'ai aucune règle actuellement, pour
> 
> Si je tente de mettre la règle précédente pour le port 80, en
> place pour le port 443, alors 139.99.173.195:443 ne va pas me
> rediriger vers https://www.visionduweb.fr mais vers mon premier
> site https://ethernium.fun
> De plus, ma politique de no-hotlinking va faire en sorte que le
> site ethernium.fun va afficher l'image de sécurité anti hotlink.
>
> Qui plus est, à ce moment la, le site visionduweb.fr ne sera plus
> ( il me semble ) navigable !
>
> Donc :
> 1- Je ne sais pas comment traiter IP:443 ( La redirection par HTML
> ne me semble 

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[Maxime G.]

Comme expliqué par Apache, le port 443 est dedié à TLS, tu fais porter à ton 
virtualhost un certificat, quel qu'il soit, soit le signé de letsencrypt soit 
un autosigné, dans tous les cas ça ne matchera pas et il y aura une erreur côté 
client, après bypass de l'erreur le client se prendra soit le redirect en HTTP 
soit le redirect HTML comme proposé précédemment.

Je ne reçois aucun redirect http sur mes tests de ton IP.
Par contre il sert bien ta page d'erreur personnalisée, c'est que t'as du 
spécifier inutilement un root document quelque part en doublon de conf.

Pour ton rewrite en 80, essayes ça:

RewriteCond %{HTTP_HOST} ^139.99.173.195$
RewriteRule ^(.*)$ https://www.visionduweb.fr/$1 [L,R=301]
14 février 2020 14:02 "G2PC" mailto:g...@visionduweb.com?to=%22G2PC%22%20)> a écrit:
Merci de vos retours, c'est sympa de tenter de m'aider à avancer ça.
Magré tout, je crois qu'on est sur un autre type de problème.

Encore une fois, je n'ai pas de difficulté pour mettre en place une redirection 
HTTP, dès lors ou l'adresse ip de mon serveur est consultée sur le port 80.

C'est bien la redirection IP:443 qui me fait m'interroger, sur la façon de la 
gérer, puisque pour commencer, je n'ai pas de certificat let's encrypt pour mon 
ip, mais bien uniquement pour mes domaines.
Est ce que le problème ne vient pas tout simplement de la ?
 # Rediriger l'adresse IP vers le 
domaine par défaut en https.  RewriteEngine On 
RewriteCond %{HTTP_HOST} ^139.99.173.195$ RewriteRule ^(.*)$ 
https://www.visionduweb.fr$1 (https://www.visionduweb.fr%241) [QSA,L,R=301] 
 
Par exemple, actuellement (Sans aucune règle VHost pour IP:443), si je tente 
d'accéder à IP:443 j'ai le message suivant sur Firefox :

http://139.99.173.195:443/ (http://139.99.173.195:443/)

Bad Request

 Your browser sent a request that this server could not understand.
Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.

En même temps, je n'ai aucune règle actuellement, pour 
Si je tente de mettre la règle précédente pour le port 80, en place pour le 
port 443, alors 139.99.173.195:443 ne va pas me rediriger vers 
https://www.visionduweb.fr (https://www.visionduweb.fr) mais vers mon premier 
site https://ethernium.fun (https://ethernium.fun)
De plus, ma politique de no-hotlinking va faire en sorte que le site 
ethernium.fun va afficher l'image de sécurité anti hotlink.

Qui plus est, à ce moment la, le site visionduweb.fr ne sera plus ( il me 
semble ) navigable !

Donc :
1- Je ne sais pas comment traiter IP:443 ( La redirection par HTML ne me semble 
pas répondre au problème rencontré. ) ( La VHost proposée est équivalente à ce 
que j'ai déjà tenté de mettre en place. )
2- Je ne comprend pas pourquoi c'est le premier site de ma liste de sites qui 
va être affiché, lorsque je tente une redirection de IP:443 vers 
http://www.visionduweb.fr (http://www.visionduweb.fr)
3- Je ne comprend pas pourquoi le site visionduweb.fr ne sera plus navigable.
Avec ma configuration actuelle :
* 1.1 Les VirtualHosts suivants ont été ajoutés sur le serveur VPS 
(https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#Les_VirtualHosts_suivants_ont_.C3.A9t.C3.A9_ajout.C3.A9s_sur_le_serveur_VPS)
* 1.2 000-default.conf 
(https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#000-default.conf)
* 1.2.1 Recharger la configuration de Apache2 
(https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#Recharger_la_configuration_de_Apache2)
* 1.3 127.0.0.1.conf 
(https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#127.0.0.1.conf)
* 1.3.1 Capturer les requêtes locales 
(https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#Capturer_les_requ.C3.AAtes_locales)
* 1.4 139.99.173.195.conf 
(https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#139.99.173.195.conf)
* 1.4.1 139.99.173.195 écoute du port HTTP 80 
(https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#139.99.173.195_.C3.A9coute_du_port_HTTP_80)
* 1.4.2 139.99.173.195 écoute du port HTTP 443 ( Si une règle 
équivalente à IP:80 est mise en place pour rediriger vers 
https://www.visionduweb.fr, alors ... 
(https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#139.99.173.195_.C3.A9coute_du_port_HTTP_443)
* 1.5 ethernium.fun 
(https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#ethernium.fun)
* 1.5.1 ethernium.fun écoute du port HTTP 80 . 
(https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#ethernium.fun_.C3.A9coute_du_port_HTTP_80)
* 1.5.2 ethernium.fun écoute du port SSL 443 .. c'est 
ethernium.fun qui va être affiché, mais, les 

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Merci de vos retours, c'est sympa de tenter de m'aider à avancer ça.
Magré tout, je crois qu'on est sur un autre type de problème.

Encore une fois, je n'ai pas de difficulté pour mettre en place une
redirection HTTP, dès lors ou l'adresse ip de mon serveur est consultée
sur le port 80.

C'est bien la redirection IP:443 qui me fait m'interroger, sur la façon
de la gérer, puisque pour commencer, je n'ai pas de certificat let's
encrypt pour mon ip, mais bien uniquement pour mes domaines.
Est ce que le problème ne vient pas tout simplement de la ?



# Rediriger l'adresse IP vers le domaine par défaut en https.

RewriteEngine On
RewriteCond %{HTTP_HOST} ^139.99.173.195$
RewriteRule ^(.*)$ https://www.visionduweb.fr$1 [QSA,L,R=301]





Par exemple, actuellement (Sans aucune règle VHost pour IP:443), si je
tente d'accéder à IP:443 j'ai le message suivant sur Firefox :

http://139.99.173.195:443/


  Bad Request

Your browser sent a request that this server could not understand.
Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.

En même temps, je n'ai aucune règle actuellement, pour 
Si je tente de mettre la règle précédente pour le port 80, en place pour
le port 443, alors 139.99.173.195:443 ne va pas me rediriger vers
https://www.visionduweb.fr mais vers mon premier site https://ethernium.fun
De plus, ma politique de no-hotlinking va faire en sorte que le site
ethernium.fun va afficher l'image de sécurité anti hotlink.

Qui plus est, à ce moment la, le site visionduweb.fr ne sera plus ( il
me semble ) navigable !

Donc :
1- Je ne sais pas comment traiter IP:443 ( La redirection par HTML ne me
semble pas répondre au problème rencontré. ) ( La VHost proposée est
équivalente à ce que j'ai déjà tenté de mettre en place. )
2- Je ne comprend pas pourquoi c'est le premier site de ma liste de
sites qui va être affiché, lorsque je tente une redirection de IP:443
vers http://www.visionduweb.fr
3- Je ne comprend pas pourquoi le site visionduweb.fr ne sera plus
navigable.


Avec ma configuration actuelle :

  * 1.1 Les VirtualHosts suivants ont été ajoutés sur le serveur VPS


  * 1.2 000-default.conf



  o 1.2.1 Recharger la configuration de Apache2


  * 1.3 127.0.0.1.conf



  o 1.3.1 Capturer les requêtes locales


  * 1.4 139.99.173.195.conf



  o 1.4.1 139.99.173.195 écoute du port HTTP 80


  o 1.4.2 139.99.173.195 écoute du port HTTP 443 ( Si une règle
équivalente à IP:80 est mise en place pour rediriger vers
https://www.visionduweb.fr, alors ...


  * 1.5 ethernium.fun



  o 1.5.1 ethernium.fun écoute du port HTTP 80 .


  o 1.5.2 ethernium.fun écoute du port SSL 443 .. c'est
ethernium.fun qui va être affiché, mais, les images seront
interdites et remplacée par l'image anti hotlinking du fait de
la protection, en bas du VHost ...


  * 1.6 ftp.visionduweb.fr



  o 1.6.1 ftp.visionduweb.fr écoute du port HTTP 80


  o 1.6.2 ftp.visionduweb.fr écoute du port SSL 443



... ... ...

1.19 visionduweb.fr

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[maxime]

Exactement ou bien dans la vhost:

  
       Redirect / https://cible.com

A voir dans la doc.
Le 13 févr. 2020 20:41, "Pierre L."  a écrit :
>
> Et en mettant un fichier index.html qui redirige automatiquement le 
> visiteur vers le site de ton choix... 
> ici, content="0 pour dire que c'est au bout de 0 seconde... 
> url= pour le site vers lequel le visiteur sera automatiquement redirigé. 
> À coller à l'emplacement de ton site par défaut. 
>
>
>  
>  
>  
>      
>      
>     https://www.visionduweb.fr/; /> 
>     Vision du web 
>  
>  
>
>  
>  
>
>
>
> Le 12/02/2020 à 14:46, G2PC a écrit : 
> > Donc, la navigation doit se faire via le domaine, et, non pas par l'ip 
> > depuis le navigateur. 
>

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[Pierre L.]

Et en mettant un fichier index.html qui redirige automatiquement le
visiteur vers le site de ton choix...
ici, content="0 pour dire que c'est au bout de 0 seconde...
url= pour le site vers lequel le visiteur sera automatiquement redirigé.
À coller à l'emplacement de ton site par défaut.





    
    
    https://www.visionduweb.fr/; />
    Vision du web








Le 12/02/2020 à 14:46, G2PC a écrit :
> Donc, la navigation doit se faire via le domaine, et, non pas par l'ip
> depuis le navigateur.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Le 13/02/2020 à 17:54, max...@mxgo.fr a écrit :
> Une requête sur IP:443 doit renvoyer sur un default vhost qui porte un 
> certificat.

J'avais tenté de rediriger IP:443 vers mon site https://www.visionduweb.fr
J'ai du mal configurer ça car je n'y arrive pas.

Tu n'aurais pas un exemple de règle, fonctionnelle pour Apache, pour que
je tente à nouveau ?

> Ce même certificat est soit autosigné soit signé, dans tous les cas il ne 
> matchera jamais avec l'IP, ce qui provoquera une erreur dans le navigateur.
>
> Si il y a contournement de l'erreur, il chargera le site default.

Si j'arrive à faire charger un site par défaut, de IP:443 vers
https://site.ext alors effectivement, je pourrais me passer de la règle
de Fail2ban sur l'IP.

> Le fonctionnement de fail2ban comme décrit me semble plus bloquant qu'autre 
> chose, sauf si le service est sensible et réglementé.
Pour le moment, cette règle que je voudrais mettre en place pour l'IP,
avec Fail2ban, et, qui devrait vérifier acces.log pour bloquer les
tentatives de connexion vers IP:80 ( qui du fait de la configuration
actuelle du VHost, renvoie une erreur 403, interdit à la consultation
par l'administrateur ), n'a pas été mise en place, mais, la règle
apache-auth prend le relais, puisque mon Vhost retourne donc une erreur
403 actuellement, vu que j'ai interdit la consultation à IP:80.

Comme dit, j'ai fais cela car je ne suis pas arrivé à rediriger IP:443
vers mon site https://site.ext

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[maxime]

Une requête sur IP:443 doit renvoyer sur un default vhost qui porte un 
certificat.

Ce même certificat est soit autosigné soit signé, dans tous les cas il ne 
matchera jamais avec l'IP, ce qui provoquera une erreur dans le navigateur.

Si il y a contournement de l'erreur, il chargera le site default.


Le fonctionnement est le même avec nginx.

Le fonctionnement de fail2ban comme décrit me semble plus bloquant qu'autre 
chose, sauf si le service est sensible et réglementé.

Mais rassures-toi il y a pire 
Le 13 févr. 2020 14:28, G2PC  a écrit :
>
>
> > Si quelqu'un vient get / sur IP sans précédence domaine il aura la page par 
> > défaut de ton choix. 
>
> C'est le cas, j'avais déjà une redirection vers mon site principale, 
> mais, comme je disais, elle ne fonctionnait que pour le protocole 80, 
> et, pas en 443, et, si je tentais d'utiliser IP:443 alors j'arrivais sur 
> un autre de mes sites. 
> Redirection normale IP:80 -> visionduweb.fr 
> Redirection anormale IP:443 -> ethernium.fun ( et consultation de 
> visionduweb.fr rendue il me semble impossible. ) 
>
> Ce ce fait, j'ai opté pour bloquer la consultation en IP:80 depuis un 
> navigateur, pour ne pas entrer dans un schema ou, si IP:80 est 
> consultable, IP:443 le serait aussi, puisque ce n'est pas le cas. 
> J'ai donc créé une redirection 403 en cas de consultation IP:80 et la 
> règle de fail2ban apache-auth bloque le client après 3 échecs. 
>
> > Si quelqu'un vient get / sur IP avec précédence il sera envoyé vers le 
> > repertoire du vhost domaine qui va lui charger le bon site. 
> > 
> > Fail2ban les IP sources qui viennent sur ton serveur est une très mauvaise 
> > idée. 
> > Si iptables vient à missmatch sur le domaine réclamé il va ban le visiteur 
> > ou +, car avec les réseaux NATés tu risques de bannir plusieurs centaines 
> > de clients en trafic (réseaux mobiles par exemple) 
> Oui mais normalement, seul les clients qui créent des erreurs sont ban, 
> et, les clients ne devraient pas finir en 403, 3 fois de suite, 
> Tout comme, les clients ne devraient pas avoir à consulter les pages de 
> login pour l'administration, 
>
> Donc, normalement, les clients ban le sont car ils ont tenté une action 
> interdite par l'admin. 
>
>
> Concrètement, j'ai pu avancer un peu avec fail2ban et mettre en place de 
> nouvelles règles complémentaires. 
> Je n'ai toujours pas réussi à faire fonctionner ma propre règle qui me 
> permet de ban tout ce qui arrive sur IP:80 , je suppose que c'est la 
> regex qui ne correspond pas, ou que la regex existe déjà dans 
> apache-auth et fait double emploi. 
>
> Concrètement, j'ai encore cette problématique de IP:80 qui fonctionne à 
> la consultation, mais, IP:443 qui me renvoie vers un autre de mes sites, 
> et, je ne vois pas comment aborder l'identification de ce problème la. 
>
>
>

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> Si quelqu'un vient get / sur IP sans précédence domaine il aura la page par 
> défaut de ton choix.

C'est le cas, j'avais déjà une redirection vers mon site principale,
mais, comme je disais, elle ne fonctionnait que pour le protocole 80,
et, pas en 443, et, si je tentais d'utiliser IP:443 alors j'arrivais sur
un autre de mes sites.
Redirection normale IP:80 -> visionduweb.fr
Redirection anormale IP:443 -> ethernium.fun ( et consultation de
visionduweb.fr rendue il me semble impossible. )

Ce ce fait, j'ai opté pour bloquer la consultation en IP:80 depuis un
navigateur, pour ne pas entrer dans un schema ou, si IP:80 est
consultable, IP:443 le serait aussi, puisque ce n'est pas le cas.
J'ai donc créé une redirection 403 en cas de consultation IP:80 et la
règle de fail2ban apache-auth bloque le client après 3 échecs.

> Si quelqu'un vient get / sur IP avec précédence il sera envoyé vers le 
> repertoire du vhost domaine qui va lui charger le bon site.
>
> Fail2ban les IP sources qui viennent sur ton serveur est une très mauvaise 
> idée.
> Si iptables vient à missmatch sur le domaine réclamé il va ban le visiteur ou 
> +, car avec les réseaux NATés tu risques de bannir plusieurs centaines de 
> clients en trafic (réseaux mobiles par exemple)
Oui mais normalement, seul les clients qui créent des erreurs sont ban,
et, les clients ne devraient pas finir en 403, 3 fois de suite,
Tout comme, les clients ne devraient pas avoir à consulter les pages de
login pour l'administration,

Donc, normalement, les clients ban le sont car ils ont tenté une action
interdite par l'admin.


Concrètement, j'ai pu avancer un peu avec fail2ban et mettre en place de
nouvelles règles complémentaires.
Je n'ai toujours pas réussi à faire fonctionner ma propre règle qui me
permet de ban tout ce qui arrive sur IP:80 , je suppose que c'est la
regex qui ne correspond pas, ou que la regex existe déjà dans
apache-auth et fait double emploi.

Concrètement, j'ai encore cette problématique de IP:80 qui fonctionne à
la consultation, mais, IP:443 qui me renvoie vers un autre de mes sites,
et, je ne vois pas comment aborder l'identification de ce problème la.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[Maxime G.]

Je ne comprends pas la complexité des propositions précédentes.

Simplement:
Tu pointes ton vhost default vers une page de ton choix (blanche ou avec script 
de redirection ou redirect apache dans le vhost).
Dans tous les cas les autres vhosts avec domaines pointent vers des repertoires 
(avec cgi ou autre).

Si quelqu'un vient get / sur IP sans précédence domaine il aura la page par 
défaut de ton choix.
Si quelqu'un vient get / sur IP avec précédence il sera envoyé vers le 
repertoire du vhost domaine qui va lui charger le bon site.

Fail2ban les IP sources qui viennent sur ton serveur est une très mauvaise idée.
Si iptables vient à missmatch sur le domaine réclamé il va ban le visiteur ou 
+, car avec les réseaux NATés tu risques de bannir plusieurs centaines de 
clients en trafic (réseaux mobiles par exemple)

Maxime.


12 février 2020 15:01 "G2PC"  a écrit:

>> Remplace ta page html par une page php et envois l'adresse IP à fail2ban.
> 
> Intéressant, je n'avais pas pensé à coupler PHP pour relever les IP et
> travailler avec Fail2ban.
> Je vais y penser, voir si cela peut être fait ainsi.
> Enfin, j'aurais préféré que Fail2ban récupère les erreurs dans les logs,
> dès lors ou une demande sur le vhost à l'écoute de l'ip se fait rejetée.
> C'est déjà le cas actuellement avec la règle apache-auth !
> J'ai voulu paramétrer ma propre règle, pour surcharger les paramètres,
> mais, ma règle ne semble pas travailler, c'était la le problème.
> 
>> Je trouve toutefois cette demande très curieuse d'autant que
>> visionduweb.com est redirigé vers l'accueil visionduweb.fr, alors
>> pourquoi ne pas adopter le même comportement pour un accès via IP ...
> 
> Comme je le disais, j'ai plusieurs domaines, donc, il faudrait alors
> définir un site principale, hors, peut être que je ne souhaite pas
> définir un site principale.
> Quelques lectures m'ont laissées penser que ce n'était pas forcément si
> judicieux et qu'il serrait intéressant de verrouiller la consultation
> lorsque c'est l'adresse IP qui est saisie.
> 
> J'utilisais bien une redirection il y a peu, de l'ip:80 vers le site
> principale, mais, la redirection de l'ip:443 vers le site principale ne
> fonctionne pas et je n'ai pas trouvé comment faire.
> Dès lors, je me suis dis qu'il serait peut être plus judicieux de
> verrouiller la consultation sur le navigateur, pour l'ip:80

Re: Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> Remplace ta page html par une page php et envois l'adresse IP à fail2ban.

Intéressant, je n'avais pas pensé à coupler PHP pour relever les IP et
travailler avec Fail2ban.
Je vais y penser, voir si cela peut être fait ainsi.
Enfin, j'aurais préféré que Fail2ban récupère les erreurs dans les logs,
dès lors ou une demande sur le vhost à l'écoute de l'ip se fait rejetée.
C'est déjà le cas actuellement avec la règle apache-auth !
J'ai voulu paramétrer ma propre règle, pour surcharger les paramètres,
mais, ma règle ne semble pas travailler, c'était la le problème.

> Je trouve toutefois cette demande très curieuse d'autant que
> visionduweb.com est redirigé vers l'accueil visionduweb.fr, alors
> pourquoi ne pas adopter le même comportement pour un accès via IP ...

Comme je le disais, j'ai plusieurs domaines, donc, il faudrait alors
définir un site principale, hors, peut être que je ne souhaite pas
définir un site principale.
Quelques lectures m'ont laissées penser que ce n'était pas forcément si
judicieux et qu'il serrait intéressant de verrouiller la consultation
lorsque c'est l'adresse IP qui est saisie.

J'utilisais bien une redirection il y a peu, de l'ip:80 vers le site
principale, mais, la redirection de l'ip:443 vers le site principale ne
fonctionne pas et je n'ai pas trouvé comment faire.
Dès lors, je me suis dis qu'il serait peut être plus judicieux de
verrouiller la consultation sur le navigateur, pour l'ip:80

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> C'est au niveau du protocole HTTP/1.1 ou mieux qu'on peut agir (le
> champ Host: de la requête GET ou POST ...). Voir la wikipage anglaise
> (Wikipedia) sur HTTP
>  puis
> l'entête Host: de HTTP/1.1 (voir
> https://en.wikipedia.org/wiki/List_of_HTTP_header_fields et bien
> évidemment la RFC7231  ... Pour
> HTTP2 ça devient plus compliqué.
>
> A mon humble avis, "G2PC"   devrait se plonger
> dans la documentation de son logiciel serveur Web. Aussi bien lighttpd
>  que Apache 
> peuvent être configurés pour ça.
>
> Et si G2PC utilise une librarie serveur Web comme libonion
> , c'est faisable aussi.
>
> Cordialement


Je ne comprend pas le renvoie vers HTTP et la RFC que tu mentionnes.
Je parlais initialement de Fail2ban et tu me renvoies vers le protocole
HTTP.

Tu me conseils de lire la documentation de Apache...
Un peu comme le compte rendu que j'ai fais de mes lectures, ici, je
suppose :
https://wiki.visionduweb.fr/index.php?title=Installer_Apache2_sur_Debian

Donc, évidemment, si je pose une question sur Fail2ban et Apache, c'est
pour avoir une piste de recherche, un conseil, un tutoriel, au moins un
ensemble de mots clés complémentaires à ceux déjà évoqués, et, pas pour
que l'on me renvoie sur la page principale de Apache pour y lire toute
la documentation de Apache, sans savoir quoi chercher, alors que la
question initiale portait tout de même sur Fail2ban.

Par contre, si des experts veulent relire ma synthèse, pour identifier
des erreurs ou des fautes d'orthographe, libre à vous.

https://wiki.visionduweb.fr/index.php?title=Installer_Apache2_sur_Debian


En attendant, je vais donc continuer mes lectures sur Fail2ban à ce
moment la, et, laisser tomber ma règle personnalisée, pour me concentrer
sur la règle apache-auth.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> C'est quoi le but ???
>
> Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
> à mémoriser les adresses IP… Quand tu tapes une URL dans ton navigateur, ton
> système va résoudre ce nom pour en obtenir l'adresse IP, puis se connecter à 
> ladite adresse IP.
>
> Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
> navigateur ne fait rien de mal en soi…
>
> Sébastien

Certes, sauf que, les noms de domaines permettent de pointer vers le bon
dossier du serveur web hébergeant plusieurs sites.

Chercher à consulter via un navigateur, l'ip du serveur, n'a pas de sens
dans mon cas.
Quel est le site qui va être affiché ?
Mon site principale, mon wiki, mon rendu FTP, mon site de jeu, mon
redmine, mon site écolo, ou autre ?

Donc, la navigation doit se faire via le domaine, et, non pas par l'ip
depuis le navigateur.

Re: Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[NoSpam]

Le 12/02/2020 à 12:03, G2PC a écrit :

Le 12/02/2020 à 09:18, k6dedi...@free.fr a écrit :

Bonjour,
Tout dépend de ce que tu veux interdire.
Si tu veux un accès seulement aux personnes autorisées sans avoir à gérer 
l'endroit d'où ces personnes se connectent, il faut tout simplement filtrer sur 
ta page : index.html
Seules les personnes à qui tu auras communiqué le mot de passe pourront se 
connecter.

En espérant que c'est ce type de contrôle que tu cherches.
Cassis

Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
voudraient demander une lecture http via l'ip directement, au lieu du
nom de domaine.
En somme, bloquer tout ce qui ne passe pas par un domaine.


Remplace ta page html par une page php et envois l'adresse IP à fail2ban.

Je trouve toutefois cette demande très curieuse d'autant que 
visionduweb.com est redirigé vers l'accueil visionduweb.fr, alors 
pourquoi ne pas adopter le même comportement pour un accès via IP ...


--

Daniel

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[basile]

On Wednesday, February 12, 2020 12:12 CET, "Sébastien NOBILI" 
 wrote:
 Bonjour,

12 février 2020 12:05 "G2PC"  a écrit:

> Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
> voudraient demander une lecture http via l'ip directement, au lieu du
> nom de domaine.
> En somme, bloquer tout ce qui ne passe pas par un domaine.

C'est quoi le but ???

Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
à mémoriser les adresses IP… Quand tu tapes une URL dans ton navigateur, ton
système va résoudre ce nom pour en obtenir l'adresse IP, puis se connecter à
ladite adresse IP.

Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
navigateur ne fait rien de mal en soi…

Sébastien
 
C'est au niveau du protocole HTTP/1.1 ou mieux qu'on peut agir (le champ Host: 
de la requête GET ou POST ...). Voir la wikipage anglaise (Wikipedia) sur HTTP 
puis l'entête Host: de HTTP/1.1 (voir 
https://en.wikipedia.org/wiki/List_of_HTTP_header_fields et bien évidemment la 
RFC7231 ... Pour HTTP2 ça devient plus compliqué.

A mon humble avis, "G2PC"   devrait se plonger dans la 
documentation de son logiciel serveur Web. Aussi bien lighttpd que Apache 
peuvent être configurés pour ça.

Et si G2PC utilise une librarie serveur Web comme libonion, c'est faisable 
aussi.

Cordialement

--

Basile Starynkevitch
http://starynkevitch.net/Basile/
92340 Bourg La Reine, France

 

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[Sébastien NOBILI]

Bonjour,

12 février 2020 12:05 "G2PC"  a écrit:
 
> Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
> voudraient demander une lecture http via l'ip directement, au lieu du
> nom de domaine.
> En somme, bloquer tout ce qui ne passe pas par un domaine.

C'est quoi le but ???

Le nom de domaine n'est qu'une commodité pour nous, humains, qui avons du mal
à mémoriser les adresses IP… Quand tu tapes une URL dans ton navigateur, ton
système va résoudre ce nom pour en obtenir l'adresse IP, puis se connecter à 
ladite adresse IP.

Un utilisateur qui taperait directement l'adresse IP dans l'URL de son
navigateur ne fait rien de mal en soi…

Sébastien

Re: Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Le 12/02/2020 à 09:18, k6dedi...@free.fr a écrit :
> Bonjour,
> Tout dépend de ce que tu veux interdire.
> Si tu veux un accès seulement aux personnes autorisées sans avoir à gérer 
> l'endroit d'où ces personnes se connectent, il faut tout simplement filtrer 
> sur ta page : index.html
> Seules les personnes à qui tu auras communiqué le mot de passe pourront se 
> connecter.
>
> En espérant que c'est ce type de contrôle que tu cherches.
> Cassis
Non, je cherche bien à utiliser Fail2ban pour bloquer les clients qui
voudraient demander une lecture http via l'ip directement, au lieu du
nom de domaine.
En somme, bloquer tout ce qui ne passe pas par un domaine.

Re : Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[k6dedijon]

Bonjour,
Tout dépend de ce que tu veux interdire.
Si tu veux un accès seulement aux personnes autorisées sans avoir à gérer 
l'endroit d'où ces personnes se connectent, il faut tout simplement filtrer sur 
ta page : index.html
Seules les personnes à qui tu auras communiqué le mot de passe pourront se 
connecter.

En espérant que c'est ce type de contrôle que tu cherches.
Cassis






- Mail d'origine -
De: G2PC 
À: Liste Debian 
Envoyé: Tue, 11 Feb 2020 05:36:16 +0100 (CET)
Objet: Comment interdire la consultation de son serveur web sur son IP directe 
et le port 443?

Comment interdire la consultation de son serveur web sur son IP directe
et le port 443 ?
Est ce que ça a du sens ?

J'ai modifié ma configuration pour interdire la consultation directe du
serveur web sur sont IP directe et le port 80.

Si je tente de modifier le VHost pour ajouter une règle 443, je n'arrive
à rien, je suis redirigé vers le premier site que j'héberge, dans
l'ordre alphabétique.
/var/www/ethernium.fun

En même temps, je n'ai pas de certificat pour l'ip seule pour le serveur.
Je note également que certains sites ont été validé et enregistrés pour
HSTS.

Si quelqu'un a un conseil à donner, pour gérer ça ( IP:443 ) à peu près
correctement, si cela est nécessaire ?
Faut t'il s'occuper de la mise en place d'une règle pour bloquer le
trafic sur IP:443 ?


Voilà la conf actuelle, si quelque chose d'anormal SAUTE aux yeux ?
https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistrés

Merci


###


En complément, je tente de mettre une règle Fail2ban en place, pour
bloquer la consultation directe sur l'adresse IP du serveur.
Par contre, pour le moment, c'est la règle apache-auth qui travaille,
et, qui bloque les indésirables au bout de 3 tentatives, valeur par défaut.
Quand je tente de créer ma propre configuration, apache-ipserveur, le
retrymax passé à 1 n'est pas être pris en compte.
Pour le moment, je continue de lire à ce sujet.

https://wiki.visionduweb.fr/index.php?title=Installer_et_utiliser_Fail2ban#Interdire_la_navigation_via_l.27adresse_IP_du_serveur

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> Sur le port 80 c'est plutôt un chemin très normal et tu risque surtout de
> pénaliser les non-bidouilleurs justement.

Bah oui et non, mais le vrai chemin normal, c'est de consulter le
contenu en passant par le nom de domaine.

> Si tu ne veux pas servir de http mais que du https, tu peux configurer ton
> serveur pour ça, ou faire une bête redirection vers tes pages https.


Mes domaines sont déjà tous en HTTPS avec lets encrypt.


> Sinon un index.html sans contenu ça affiche une page blanche... mais ça sert à
> quoi ? Autant faire une redirection dans ta page avec un petit message et un
> lien si le navigateur bloque la redirection automatique.

J'avais une redirection effectivement, vers l'un de mes sites, mais, je
ne trouve pas ça très propre.
J'ai donc effectivement créé un index.html qui ne sert plus finalement,
car, j'ai interdit la consultation de tout le dossier /var/www/ip depuis
le VHost.
Une redirection est faite vers la page erreur 403, donc, oui, c'est
géré, pour le port 80 ;
https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#139.99.173.195_.C3.A9coute_du_port_HTTP_80

Par contre, si j'appelle mon IP:443 alors, je suis redirigé vers le
premier nom de domaine de ma liste ( ethernium.fun ) :
https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistr%C3%A9s#139.99.173.195_.C3.A9coute_du_port_HTTP_80
De plus, le site ne va pas afficher les images correctement, à cause de
la protection anti hotlinking.
Seul la consultation depuis le domaine est autorisée. ( Je pourrais
autoriser l'IP du serveur dans la protection anti hotlinking ... mais ...)
J'ai l'impression qu'il y a un soucis de configuration, car, je devrais
pouvoir obtenir le même résultat que pour le port 80, c'est à dire,
rediriger IP:443 vers une page d'interdiction, mais alors, je n'arrive
plus à consulter mes domaines.



> J'ai l'impression que tu cherche des choses compliquées là ou c'est simple. Je
> suis souvent un peu comme ça aussi, mais chut!

La première chose compliquée, c'est d'arriver à écrire une règle
fonctionnelle pour Fail2ban pour bloquer les clients qui vont sur IP:80
En fait, c'est déjà le cas de la règle apache-auth

Par contre, je n'arrive pas à ce que ma propre règle apache-ipserveur
fasse le travail, avec la valeur par défaut pour le maxretry, de 1, au
lieu de 3 par défaut pour apache-auth. C'est le jail apache-auth qui
travail, et, apache-ipserveur semble activé, mais, ne rien faire.


Le plus compliqué étant de faire alors la même chose pour IP:443 sans
créer une panne de consultation pour mes domaines.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> Excuses, je ne comprends tjrs pas :
> "que l'adresse IP sur un navigateur, n'affiche rien".
> Merci de bien le ré-exprimer.
>
> On peut empêcher bien des connexions avec les
> scripts PHP et Iptables.

Actuellement, j'ai interdit la consultation d'un contenu, si on utilise
mon IP, à l'aide de mon VHost de Apache.
Je redirige vers une page erreur 403.

Ce que je voudrais maintenant, c'est une règle Fail2ban pour automatiser
les bans, si un client cherche à consulter un contenu web en utilisant
l'adresse IP du serveur plutôt que l'un des noms de domaines.

Je constate que la règle apache-auth de fail2ban se charge déjà de
bannir les clients qui répondent aux logs " La configuration du serveur
n'autorise pas à consulter cette page ", cela après 3 essais infructueux.

J'ai tenté de créer ma propre règle pour HTTP, en autorisant 1 seul
essai infructueux, mais, elle ne fonctionne pas.


Et, je me demandais si je peux obtenir un équivalent, pour HTTPS.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

> PS: c'est peut etre pas une bonne idee de mettre ta config apache sur un
> site.
>
> amicalement
> patrick

Oui mais bon, contrairement à d'autres, je ne commercialise rien.
D'ailleurs, quand on voit les VHosts de nombreux sites marchands, je
pense que je n'ai pas à rougir du mien.
Quant à la sécurité, elle n'existe pas, ou, pour les autres.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[Haricophile]

Le mardi 11 février 2020 à 15:48 +0100, G2PC a écrit :
> Oui, je voudrais que l'adresse IP sur un navigateur, n'affiche rien, et,
> éventuellement bannir toutes personnes ou robots qui voudraient utiliser
> l'IP directement sur le port 80 pour tenter d'accéder à un contenu web,
> puisque ce n'est pas le chemin normal, donc, fort à parier que ce soit des
> bidouilleurs.

Sur le port 80 c'est plutôt un chemin très normal et tu risque surtout de
pénaliser les non-bidouilleurs justement.

Si tu ne veux pas servir de http mais que du https, tu peux configurer ton
serveur pour ça, ou faire une bête redirection vers tes pages https.

Sinon un index.html sans contenu ça affiche une page blanche... mais ça sert à
quoi ? Autant faire une redirection dans ta page avec un petit message et un
lien si le navigateur bloque la redirection automatique.

J'ai l'impression que tu cherche des choses compliquées là ou c'est simple. Je
suis souvent un peu comme ça aussi, mais chut!

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[ajh . valmer]

> Le 11/02/2020 à 14:53, ajh.val...@free.fr a écrit :
> > On Tuesday 11 February 2020 05:36:16 G2PC wrote:
> >> Comment interdire la consultation de son serveur web sur son IP directe
> >> et le port 443 ?
> >> Est ce que ça a du sens ?
> > Je ne comprends pas :
> > le port 443 = https,
> > et que veut dire ? :
> > "interdire la consultation sur son IP direct".
> > Enfin, ce n'est pas la consultation d'un serveur web,
> > mais d'un site Web ?

> Oui, je voudrais que l'adresse IP sur un navigateur, n'affiche rien, et,
> éventuellement bannir toutes personnes ou robots qui voudraient utiliser
> l'IP directement sur le port 80 pour tenter d'accéder à un contenu web,
> puisque ce n'est pas le chemin normal, donc, fort à parier que ce soit
> des bidouilleurs.

Excuses, je ne comprends tjrs pas :
"que l'adresse IP sur un navigateur, n'affiche rien".
Merci de bien le ré-exprimer.

On peut empêcher bien des connexions avec les
scripts PHP et Iptables.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[Patrick CAO HUU THIEN]

Le 11 févr. 2020 a 05:36:16 +0100, G2PC a écrit :

bonjour a toi,

> Comment interdire la consultation de son serveur web sur son IP directe
> et le port 443 ?
> Est ce que ça a du sens ?

si ce n' est pas un server web oui.
si tu ne veux pas utiliser https, oui.
:)

Le plus simple me semble est iptables.
Tu interdis tout sauf ce que tu veux.

Si c'est une histoire de vhost je ne suis pas specialiste d'apache
(nginx c'est mieux :))





> 
> J'ai modifié ma configuration pour interdire la consultation directe du
> serveur web sur sont IP directe et le port 80.
> 
> Si je tente de modifier le VHost pour ajouter une règle 443, je n'arrive
> à rien, je suis redirigé vers le premier site que j'héberge, dans
> l'ordre alphabétique.
> /var/www/ethernium.fun
> 
> En même temps, je n'ai pas de certificat pour l'ip seule pour le serveur.
> Je note également que certains sites ont été validé et enregistrés pour
> HSTS.
> 
> Si quelqu'un a un conseil à donner, pour gérer ça ( IP:443 ) à peu près
> correctement, si cela est nécessaire ?
> Faut t'il s'occuper de la mise en place d'une règle pour bloquer le
> trafic sur IP:443 ?
> 
> 
> Voilà la conf actuelle, si quelque chose d'anormal SAUTE aux yeux ?
> https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistrés

PS: c'est peut etre pas une bonne idee de mettre ta config apache sur un
site.

amicalement
patrick

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[G2PC]

Le 11/02/2020 à 14:53, ajh.val...@free.fr a écrit :
> On Tuesday 11 February 2020 05:36:16 G2PC wrote:
>> Comment interdire la consultation de son serveur web sur son IP directe
>> et le port 443 ?
>> Est ce que ça a du sens ?
> Je ne comprends pas :
> le port 443 = https,
> et que veut dire ? :
> "interdire la consultation sur son IP direct".
>
> Enfin, ce n'est pas la consultation d'un serveur web,
> mais d'un site Web ?

Oui, je voudrais que l'adresse IP sur un navigateur, n'affiche rien, et,
éventuellement bannir toutes personnes ou robots qui voudraient utiliser
l'IP directement sur le port 80 pour tenter d'accéder à un contenu web,
puisque ce n'est pas le chemin normal, donc, fort à parier que ce soit
des bidouilleurs.

J'ai lu un article dans ce sens mais la règle ne fonctionne pas comme
attendue.

https://www.majorxtrem.be/2009/05/01/bloquer-les-scans-de-dossier-par-dictionnaire-sur-votre-serveur-web/


Comme dit, dans mon cas, j'ai eu plusieurs problèmes, déjà, la règle
n'était même pas du tout reconnue, ensuite, c'est la configuration par
défaut de fail2ban qui est utilisée ( via apache-auth ) ( et pas
apache-ipserveur que j'ai créé ).


Finalement, j'ai pu avoir le apache-ipserveur d'activé mais il ne
travail pas, c'est toujours la configuration de apache-auth qui est pris
en compte.


Le tout dernier essai que j'ai mis en place consiste à remplacer le
filtre proposé par le tutoriel précédent

failregex = [[]client []] client denied by server configuration: 
/var/www/139.99.173.195/.*
Par
failregex = ^[[][^]]+[]] [[]error[]] [[]client []] client denied by 
server configuration: /var/www/139.99.173.195/.*

Je ne suis ABSOLUMENT pas sur de ce que j'ai fais ici.


J'ai également corrigé mon VHost concernant mon IP, pour bien renvoyer
une erreur 403 et la page correspondante depuis le dossier
/var/www/139.99.173.195/403-erreur.php  tout en comprenant que le VHost
interdit déjà la consultation directe par IP. J'ai donc simplement
autorisé ici l'affichage de la page 403-erreur.php + L'image + le
favicon.ico qui sont autorisés exceptionnellement, dans le VHost, sinon,
tout est interdit ( client denied by server configuration )

https://wiki.visionduweb.fr/index.php?title=Installer_et_utiliser_Fail2ban#Interdire_la_navigation_via_l.27adresse_IP_du_serveur


J'en suis au même point, la règle semble être active mais ne fonctionne pas.
Si je tente de me connecter à Tor Browser, et, de naviguer avec mon IP,
il faudra 3 essais avant d'être banni, et, pas 1 unique essai.
Je suis donc toujours sur la configuration par défaut, et, c'est
apache-auth qui travail et pas apache-ipserveur.

Re: Comment interdire la consultation de son serveur web sur son IP directe et le port 443?

[ajh . valmer]

On Tuesday 11 February 2020 05:36:16 G2PC wrote:
> Comment interdire la consultation de son serveur web sur son IP directe
> et le port 443 ?
> Est ce que ça a du sens ?

Je ne comprends pas :
le port 443 = https,
et que veut dire ? :
"interdire la consultation sur son IP direct".

Enfin, ce n'est pas la consultation d'un serveur web,
mais d'un site Web ?