Bonjour à tous,

Nous avons une application web qui nous sert à la gestion de nos mot de passe (teampass) dans la configuration de cette application, nous avons la possibilité de restreindre l’application via un groupe.

Mais pour plus de sécurité, on me demande de faire en sorte que ce site ne soit accessible QUE si nous bonne adresse IP.

En lisant différents sites, il suffit « simplement » de rajouter les ligne suivante:

<Directory /var/www/html/teampass>
Order deny,allow
Deny from all
Allow from XXX.XXX.XXX.XXX (correspond à l’adresse IP (s) voulu)
< /Directory>

mais que rajoute mi IP dans le fichier de conf du site web j’ai ce message d’erreur

Forbidden

You don’t have permission to access this resource.

aurais-je oublier quelque chose?

Finalement j’ai trouvé, il suffit de mettre Allow from XXX.XXX.XXX.XXX par adresse IP.

Un simple pare-feu aussi fait tout à fait l’affaire sans avoir à modifier la configuration du site.
l’avantage du parefeu ce’st qu’il protège d’autres type d’attaques et de fait de la compromission du serveur apache proprement dit.
Allow ne fait que restreindre l’origine des requetes HTTP.

N’importe quoi…

Ce genre de restriction se fait bien au niveau de l’hôte virtuel. Par contre il est préférable d’utiliser la syntaxe suivante :

<Directory /var/www/html/teampass>
	Require ip 22.23.24.25  12.13.14.15
</Directory>

pour limiter l’accès aux seule clients dont l’IP est 22.23.24.25 ou 12.13.14.15.

Cf. https://httpd.apache.org/docs/2.4/fr/howto/access.html

Question de point de vue. Le serveur apache établira la connexion TCP, vérifiera si l’ip est acceptée et répondra dans le cadre du protocole HTTP. Il y a échange.
Le pare-feu lui va droper la connexion, il n’y a aucun échange.