Apache et Allow from... et vpn ?

Support Debian
#1

Bonsoir à tous…

J’ai un petit soucis avec la directive “Allow from” sur mon site intranet sous squeeze :

extrait de /etc/apache2/site-available/monsite.conf

Order Deny,Allow Deny from all Allow from 192.168.0.0/24 88.56.156.xxx

ou 88.56.156.xxx est mon adresse externe, qui peut donc accéder au site.

Maintenant si je met une adresse de mon serveur VPN…

Order Deny,Allow Deny from all Allow from 192.168.0.0/24 88.56.156.xxx 10.25.26.X

ou 10.25.26.X est mon adresse ip une fois connecté au serveur VPN.

Pourquoi, bien que connecté au serveur VPN, je n’ai pas accès au site (“site forbidden”) !!! ?
J’ai bien vérifié, je n’ai pas de directive contradictoire dans mon fichier .htaccess
Y-a t’il un endroit, un fichier qu’il faudrait vérifier ?

#2

As-tu relancé apache pour tenir compte du changement ?
As-tu vérifié l’adresse IP source dans les logs ?

PS : quel rapport avec la programmation ?

#3

Apache a été “reloadé” et “restarté” et les ip sont vérifié. D’oû ma question y-a-t il pas une autre config ailleurs qui fait barrage…
Seule mon adresse externe (Non VPN) est bien prise en compte ???

Effectivement pas de rapport avec la programmation… mais je ne savais pas ou posté sur Debian… désolé.

#4

Je dirais dans “Support Debian”. Si un modérateur passe par ici et peut déplacer le fil…

#5

Comment se fait le routage? Tu as mis une route de retour depuis le serveur vers le serveur VPN ou bien ce dernier fait de la translation d’adresse (NAT) auquel cas le serveur Apache ne verra pas ta machine mais le serveur VPN… Que disent les logs d’apache?

#6

J’avoue ne pas tout comprendre !

/var/log/appache2/acces.log
Apparemment que je sois connecté en VPN (10.X.X.X) ou pas (88.X.X.X) apache ne me sort que des connexion faisant référence à 88.X.X.X
???

#7
  1. Quelle est la table de routage de ton serveur VPN et son IP
  2. Qui est 88.X.X.X le serveur VPN? la passerelle vers le WAN? (ça m’agace cette parano, si tu veux savoir, moi c’est 82.66.248.156, je ne pense pas que le monde va se jeter sur ma machine pour la démolir après avoir lu cette IP, pour le 10.x.x.x, c’est pareil, que crains tu?) et quelle est la table de routage sur cette machine?
#8

D’accord avec François. Il faudrait une description de la topologie du réseau, la position des différentes machines impliquées, les adresses et la table de routage de chacune.

Il y a des logs avec 88.X.X.X comme source aux instants précis où tu essaies d’accéder au site alors que tu es connecté en VPN ? Mais cette adresse est autorisée, donc tu ne devrais pas être bloqué.
(A part ça, quand j’ai demandé si tu avais vérifié les adresses source dans les logs tu as répondu que oui…)

#9

Si apache renvoie “Site forbidden”, ça veut dire qu’il n’y a pas de problème de route.

Par contre, as-tu mis un “X” dans ta config apache ou “X” est un chiffre que tu ne veux pas nous fournir?

Ne connaissant pas apache, je vais lancer des idées à la con :
tu ne dois pas obligatoirement mettre de masque? Genre /32 si tu n’as qu’une seule adresse.
Es-tu sur que tu peux mettre 2 règles par ligne?

édit : solution à la con : et si ton serveur vpn faisait proxy? Ce serait donc ton serveur (avec une IP dans ton LAN) qui accèderait à ton site. En plus, si ton intranet ne change pas beaucoup, tu pourrais y gagner en ressources.

#10

[quote]Si apache renvoie “Site forbidden”, ça veut dire qu’il n’y a pas de problème de route.

[/quote]Le routage permet de savoir comment sa machine accède au serveur et donc sous quelle IP elle apparait.[quote]
édit : solution à la con : et si ton serveur vpn faisait proxy? Ce serait donc ton serveur (avec une IP dans ton LAN) qui accèderait à ton site. En plus, si ton intranet ne change pas beaucoup, tu pourrais y gagner en ressourc[/quote]
Il semble que ça soit le cas mais ça n’est pas cohérent avec le reste (tout devrait être refusé), d’où les renseignements demandés.

#11

[quote=“patxy”]Si apache renvoie “Site forbidden”, ça veut dire qu’il n’y a pas de problème de route.
[/quote]

Bonjour,
Il a raison si tu as ce message :

Alors c’est que tu atteins bien apache et que c’est lui qui te jette.
Fais un test avec cette configuration :

Order Deny,Allow Deny from all Allow from all

Sinon envoi nous tes logs ( /var/log/apache2/error.log ).
cordialement Mini