.htaccessアクセス制限設定に関するご相談

[haru]

先日はサーバー申請を受理していただき、ありがとうございました。

claudeを利用しながら、アクセスは日本国内のみとするためのアクセス制限の設定を進めていました。
.htaccessにてRequireを試してみたのですが、正しく動作しませんでした。
テストとして、以下のように自分の IPv4 アドレスのみ許可する設定を試しましたが、どうしてもエラーになります。

<RequireAll>
Require all denied
Require ip xxx.xxx.xxx.xx
</RequireAll>

Forbidden
You don’t have permission to access this resource.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

phpinfo()で確認したところ、mod_authz_core が読み込まれていないようでした。
旧フォーラムを拝見するとRequireは使えていた形跡があるようでした、何かこちらの申請や設定の不足等でしょうか。

現在は Apache 2.2 の書き方によるアクセス制限が動いている様子なので、ひとまずはそのままでも問題ありません。
ただ、念のため確認させていただければと思います。

また、mod_geoipを使うと、IPを羅列せずにすみ、スマートに書けるそうなのですが、
こちらインストールの予定はありますでしょうか。

お手数をおかけしますが、どうぞよろしくお願いいたします。

[april_c]

>テストとして、以下のように自分の IPv4 アドレスのみ許可する設定を試しましたが、どうしてもエラーになります。
この件のみ 心当たりがありますので参考になれば・・・ということで。（すでにチェック済かもしれませんが）

・haruさんのパソコンで「コントロールパネル」→「ネットワークと共有センター」
・接続しているアクセスを開いて左下の「プロパティ」をクリック
・「インターネットプロトコルの IPv4 と IPv6 の両方にチェックが入っていたら 以下を読み進めてください。

以前 同じような経験があるんですが、IPv4 と IPv6 の両方で通信できる環境だとIPv6 が優先します。
Require ip [ご自身の IPv4アドレス] としても、優先する IPv6 のアドレスは許可していないので「403 Forbidden」となってしまいます。
IPv6 のチェックを外すと IPv4 でアクセスすることになりますから、Require ip [ご自身の IPv4アドレス] が効いて「403 Forbidden」が出なくなると思います。

[haru]

ご助言ありがとうございます。

試行錯誤中にIPv6も試そうとしたのですが、確認したところ、使用していないようでした。

IPv4のみのようです。

[april_c]

外れでしたか。

<RequireAny>
Require all denied
Require ip XXX.XXX.XXX.XXX（自身のIP）
</RequireAny>

としても たぶん Forbidden 403エラーが出ますよね。

内容があまりに私のケースと同じだったので、思わず反応してしまい 申し訳ありませんでした。

解決をお祈りします。

 

[ちらみ]

フォローありがとうございます。

[ちらみ]

すみません、今週来週と出張対応でバタバタしてて腰を据えて確認ができませんが、Apache 2.2形式であればうまくいっていて、2.4形式だとエラーになるということはhtaccessの記述方法の問題な気もします。

本件はphpinfoの出力結果に関係は無くApache制御方法の問題です。

GeoIPによる制御は10年ほど前に導入していましたが、少なくとも当時は正確性に欠けていた印象があり今は採用しておりません。

ただ、当サーバでは国別に加えてプロトコルに応じたアクセス制御ができる仕組みを既に作りこんでいますので、例えば「Webアクセスを日本国内に限定する」事を各ユーザがコンパネから自サイト向けに設定できるように検討してみようとは思っていました。

コンパネでの提供となるかは分かりませんが、例えばWordpressのようなCMSログイン関連のphpに関しては、既に全体設定としてアクセス元を国内に限定しています。

自サイトのWebアクセスを完全に国内に限定してしまうと、Googleなどのサーチエンジンにインデックスされなくなったり、色々問題があるので、Webアクセスに関してはこちらのサービス仕様にある拒否国以外は全許可にしています。

それでもなお、自サイトへのアクセスを国内に限定したい方向けにこの機能を提供できるかは検証が必要なので少しお時間下さい。

[haru]

april_cさん
教えていただいた<RequireAny>を使用して自分のIPのみで試してみたところ、私はアクセスでき、海外からのアクセスは拒否できました。
私の記述が間違っていました。ありがとうございます、助かりました。
早速、現在使用している.htaccessのリストを2.4形式に合わせて書き換え、ひとまずは動作している様子です。

管理人さん
大変お忙しい中申し訳ございません、ご対応いただきありがとうございます。
.htaccessですが、記述方法が間違っていました。先ほど頂いた助言をもとに訂正できたようです。

国内限定での運用についてご検討いただけるとのこととても嬉しいです。
知識がないまま作った.htaccessでは不安で、コンパネで設定できるのであればとてもありがたいです。
拒否国は確認しておりますが、個人的に、Google等も含め全てを避け、日本のアクセス解析を利用し、国内限定で国内のコミュニティでひっそりと自サイト運営できればと思っています。今回の設定はそのためのものでした。
同様の需要が他にどれほどあるかはわかりませんし、サーチエンジンへのインデックス問題も理解していますが、ご検討頂けるのであれば大変嬉しいことです。

お騒がせしました、とても助かりました。ありがとうございました。

[ちらみ]

こちらですが、ちょっとずつ検証しましてコンパネで提供できる目途が立ちましたので出張から戻り次第提供を開始する予定です。

ただ、Apacheレイヤーでの拒否なのでファイアウォールの通信ドロップに比べると、アクセスログには残りますし日本からのアクセスに限定しているだけですので需要としては限定的かもしれません。

仕組み的には、このポリシーに拒否国を同時に含める事もできるのでご意見を募集します。

 

[Kou]

横からですが、私個人の意見として拒否国を追加するより特定のアクセスがあったら全サイトの拒否リストに追加というような動的な保護が必要なのかなとも思います。
例えば、家Tサーバー内での「*****A.ie-t.net」に攻撃に似たアクセスがあった場合、別の「*****B.ie-t.net」にもそのIPをブロックするようにするといった機能です。
この場合、負担が増えるかもしれませんが、保護をするかしないかを選べるようにすれば少しは拡張性があるのではないかと思います。

プロトコルとしては、wp-includesフォルダへのPUTコマンド(HTTPリクエストとして通常はありませんが、私のところでは頻繁に来ます)やPOSTコマンドを制限する、などといったことが良いかと思います。
あくまでも一例ですので、間違ったことが含まれているかもしれませんが…

[ちらみ]

別トピックを発端とした動的ブロックは既に実装済みです。

403や404を多発させるとIPv4,IPv6問わずIPレイヤーで一定時間Block（Drop）されます。

[投稿者]

投稿