apache2でのallow,deny指定について
Linux+Apache2+PHP+MySQLの組み合わせでWebサーバを運用しています。
海外向けのサービスのため、
日本国内からのWebアクセスを遮断することになりました。
日本国内のIPアドレス表はあるので、
httpd.conf内で
<Directory ~>
Order allow,deny
Allow from all
Deny from xx.xx.xx.xx/xx
(以下国内IPアドレスが続く)
</Directory>
としてIPアドレスにより遮断しました。
これ自体は問題なく稼働しています。
ただ、日本国内からも運用上いくつかの拠点で閲覧できる必要があり、それらのIPアドレスに対してallow指定をしたいのですが、どうもうまくいきません。
ようは
order allow,deny,allow
のような感じでできればいいのですが、そういう指定はできないようです。
<Directory>ディレクティブを下で再定義したり、別に.htaccessで定義してallowしてみたりしたのですが、そうするともともとあったdeny指定がクリアされてしまうようです。
もちろん、deny fromするサブネットを細かく分けて記述すればいいのですが、今後IPアドレスの追加や削除が発生しうるため、あまり国内IPアドレス表の部分はいじりたくないのです。
また、deny from allでその後海外のIPアドレスをallowするというのは、IPアドレス表が膨大になりすぎるので、これも避けたいです。
理想的には、httpd.confで国内を遮断した後、別ファイルで許可するIPアドレスを記述できればと思っています。
なお、PHPアプリケーションのほうで遮断するというのはパフォーマンスが劣化するため考えておりません。
現在は、仕方なくサブネット単位で
#Deny from xx.xx.xx.xx/xx
みたいにコメントアウトして運用しています。
「絶対に国内からは見られては困る」というほどでもないので、まあこれでもいいかと思っていますが、
もっとスマートなやり方はないかと思いご質問させていただきました。
なにとぞよろしくお願いいたします。
投稿日時 - 2009-07-09 14:44:13
質問者が選んだベストアンサー
> allow from all
> deny 個別IP
> という順番にせざるをえません。
これ理解が違っていませんか。上位ディレクトリの設定とは関係なく
指定した設定が有効になりますよ。
> あと、Order deny,allowですとallowのほうが強いわけなので、最後に
> allow from allしたら結局全部allowになっちゃいませんかね?
allow from all したら、そのとおりですが、Order deny,allow の
デホルトは allow なので deny でも allow でも指定しなければ
allow になります。
参考URL:http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order
投稿日時 - 2009-07-10 21:34:52
ありがとうございます。
わたしの理解がそもそも間違ってました。
おっしゃる通りの設定でうまくいきました。
投稿日時 - 2009-07-12 01:11:52
このQ&Aは役に立ちましたか?
4人が「このQ&Aが役に立った」と投票しています
回答(2)
やりたいことは Order allow,denyではなくて、
Order deny,allow
ではないですか?
denyで国内からのアクセスをブロック、allowでその一部を許可、
残り全てを許可。
投稿日時 - 2009-07-10 01:49:34
わたしの記述に不足がありました。
もともと/でdeny from allしているため、各公開ディレクトリでは最初にまずallow from allしてあげる必要があります。
ですので
allow from all
deny 個別IP
という順番にせざるをえません。
あと、Order deny,allowですとallowのほうが強いわけなので、最後にallow from allしたら結局全部allowになっちゃいませんかね?
というか試しましたがそうなりました。
投稿日時 - 2009-07-10 08:48:01
あなたにオススメの質問
- IPアドレスでアクセスを制限するには? 環境は、OSはLinux Fedora10で、Apacheは2.2.10です。 「/var/log/h...
- apacheの設定(IPアドレスによるアクセス制限の方法) 下記のようなエラーがでてしまいます。 解決策をご存知の方、どうぞ教えてください。 よろしくお願いいた...
- Apache Allow from に DDNS Apache 2.2を使用しています。 Confファイルを下記のように全てのアクセスを禁止し、特定のI...
- hosts.allowのIPアドレスの記述ついて Red Hat Linux9を使用して勉強しています。 SSHを動かしていて、hosts.deny...
- Apache/2.2.13 WebサーバーでCGIが動きません ご迷惑をおかけして、すいません。 何方か助けてください。お願いいたします。 OS Redhat ...
- ユーザー毎のディレクトリでCGIを設置 ユーザー毎のディレクトリでCGIを設置可能にしようとしているのですが、うまくいきません。 教えて下さい...
- Apacheの設定 <Filesについて Apache 2.0.49(Win32)と 1.3.27-0vl9(Linux)を使っています。 ht...
- 【Apache】<Files ~>と<FilesMatch>及び、<D... <Files ~ "(?i:\.ini|\.tmp)$"> Order Deny,Allow d...
- PHP実行でファイルのダウンロードのダイアログが開きます。 OSはDebian GNU/Linux 3.0です。 PHP4.3.7とapache1.3.31におい...
- Linux hosts.allowでのアクセス制御 いつもありがとうございます。 RedHat hosts.allowでのアクセス制御について設定方法を質...
