Запретить все, разрешить только один IP через htaccess


156

Я пытаюсь все отрицать и допускаю только один IP. Но я хотел бы, чтобы следующий htaccess работал для этого единственного IP. Я не нахожу способ, чтобы оба работали: запретить все и разрешить только один плюс следующие опции:

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /

    #Removes access to the system folder by users.
    #Additionally this will allow you to create a System.php controller,
    #previously this would not have been possible.
    #'system' can be replaced if you have renamed your system folder.
    RewriteCond %{REQUEST_URI} ^system.*
    RewriteRule ^(.*)$ /index.php?/$1 [L]

    #When your application folder isn't in the system folder
    #This snippet prevents user access to the application folder
    #Submitted by: Fabdrol
    #Rename 'application' to your applications folder name.
    RewriteCond %{REQUEST_URI} ^application.*
    RewriteRule ^(.*)$ /index.php?/$1 [L]

    #Checks to see if the user is attempting to access a valid file,
    #such as an image or css document, if this isn't true it sends the
    #request to index.php
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule ^(.*)$ index.php?/$1 [L]
</IfModule>

<IfModule !mod_rewrite.c>
    # If we don't have mod_rewrite installed, all 404's
    # can be sent to index.php, and everything works as normal.
    # Submitted by: ElliotHaughin

    ErrorDocument 404 /index.php
</IfModule>

Есть ли способ сделать эту работу?

Ответы:


356
order deny,allow
deny from all
allow from <your ip> 

95
НОТА! Apache чувствителен к пробелам в htaccess. Не допускайте пробелов между запретами, разрешайте. Т.е. не пиши приказ отрицать, разрешай.
Х.Раби

2
ИНФОРМАЦИЯ: - это работает и для IPv6! просто добавьте еще одну строку сallow from yourIPv6
jave.web

Возможно ли это в nginx?
shgnInc

10
Примечание к документам 2.4 : директивы Allow, Deny и Order, предоставляемые mod_access_compat, устарели и исчезнут в следующей версии. Вам следует избегать их использования и избегать устаревших руководств, рекомендующих их использование.
Мартин Шнайдер,

4
Как указал @ MA-Maddin, - тогда mod_access_compat устарели. Этот пост показывает, как это сделать в более новых версиях. И следует также учитывать, если сервер использует прокси, так как это будет отображать прокси-IP для посетителя. Этот пост предлагает решение этой проблемы.
Зет

115

Я знаю, что на этот вопрос уже есть принятый ответ, но документация Apache гласит:

Директивы Allow, Deny и Order, предоставляемые mod_access_compat, устарели и исчезнут в следующей версии. Вам следует избегать их использования и избегать устаревших руководств, рекомендующих их использование.

Итак, более перспективный ответ будет:

<RequireAll>
    Require ip xx.xx.xx.xx yy.yy.yy.yy
</RequireAll>

Надеюсь, я помог предотвратить превращение этой страницы в один из этих «устаревших учебников». :)


Куда мы помещаем наш IP?
Гари Карлайл Кук

1
Путь! Это должно быть принято решение, поскольку оно не только работает, но и требует времени.
6opko

Другой ответ не помог в моей ситуации. Но этот сделал. Спасибо за обновление старого потока.
Иоганн Дейк

1
Пример этого ответа позволяет получить доступ с двух IP-адресов? Итак, чтобы добавить несколько IP, мы просто ставим пробел между ними? Можете ли вы поставить Require ipнесколько строк, чтобы сделать их более читабельными для пользователя, или все IP-адреса должны быть в одной строке?
Хастиг Зусамменстеллен,

если бы вы использовали это, как бы вы перенаправили на новую временную страницу, как это сделали некоторые ответы?
rudtek

39

Это можно улучшить с помощью директивы, разработанной для этой задачи.

ErrorDocument 403 /specific_page.html
Order Allow,Deny
Allow from 111.222.333.444

Где 111.222.333.444 - ваш статический IP-адрес.

При использовании директивы Order Allow, Deny запросы должны совпадать с Allow или Deny, если ни один из них не выполняется, запрос отклоняется.

http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order


1
Как добавить пользовательский URL?
Второе зрение

32

Слегка измененная версия вышеперечисленного, включая настраиваемую страницу, отображаемую тем, кому отказано в доступе:

ErrorDocument 403 /specific_page.html
order deny,allow
deny from all
allow from 111.222.333.444

... и таким образом те запросы, которые не поступают от 111.222.333.444, увидят конкретную_страницу.html

(публикация этого комментария выглядела ужасно, потому что новые строки терялись)


Здравствуй. У меня точно такой же код, как у вас в моем .htaccess, но я получаю ошибку 500. Указанная мной страница называется test.htmlи находится в той же папке, что и .htaccess. Тем не менее, я не вижу журналы (не разрешено с сервера). У вас есть идея, почему у меня может быть такая проблема? Когда я получаю путь к файлу через FTP-клиент, он говорит мне, /test.htmlчто путь не должен быть проблемой, верно?
Musterknabe

Кроме того, ошибка 500 возникает даже тогда, когда я закомментировал строку с ошибочным документом. Так что это не должно быть проблемой. Есть ли причина, по которой другие 3 строки не могли работать? В моем .htaccess у меня есть еще три строки, где я перенаправляю не-www на www, но это все. Но я также получаю сообщение об ошибке, когда у меня есть ТОЛЬКО три строки с
запретом

Как добавить пользовательский URL?
второстепенный

8

Улучшая немного больше предыдущих ответов, страница обслуживания может быть показана вашим пользователям, пока вы вносите изменения на сайте:

ErrorDocument 403 /maintenance.html
Order Allow,Deny
Allow from #.#.#.#

Куда:


Когда я использую ErrorDocument 403, я получаю дополнительную ошибку 403 для этого файла maintenance.html, потому что он также не может получить доступ к этому файлу. У вас есть решение для этого?
Здравко Донев

3

В дополнение к ответу @David Brown, если вы хотите заблокировать IP, вы должны сначала разрешить всем, а затем блокировать IP как таковые:

    <RequireAll>
      Require all granted
      Require not ip 10.0.0.0/255.0.0.0
      Require not ip 172.16.0.0/12
      Require not ip 192.168
    </RequireAll>

First line allows all
Second line blocks from 10.0.0.0 to 10.255.255.255
Third line blocks from 172.16.0.0 to 172.31.255.255
Fourth line blocks from 192.168.0.0 to 192.168.255.255

Вы можете использовать любое из обозначений, упомянутых выше, в соответствии с вашими потребностями CIDR.


Спасибо, это правильный способ работы с Apache 2.4!
Александар Павич

2

Вы можете использовать следующее в htaccess, чтобы разрешить и запретить доступ к вашему сайту:

SetEnvIf remote_addr ^1\.2\3\.4\.5$ allowedip=1

Order deny,allow
deny from all
allow from env=allowedip

Сначала мы устанавливаем env-переменную allowip, если ip-адрес клиента соответствует шаблону, если шаблон соответствует, тогда переменной env allowip присваивается значение 1 .

На следующем шаге мы используем директивы Allow, deny, чтобы разрешить и запретить доступ к сайту. Order deny,allowпредставляет порядок denyи allow. deny from allэта строка говорит серверу запретить всем. последняя строка allow from env=allowedipпозволяет получить доступ к одному IP-адресу, для которого мы устанавливаем переменную env.

Замените 1\.2\.3\.4\.5на ваш разрешенный IP-адрес.

Ссылки:


1
Каковы плюсы использования этого вместо просто Разрешить из 324.234.22.1?
Берри М.

2

Я не смог использовать метод 403, поскольку хотел, чтобы страница обслуживания и изображения страниц находились в подпапке на моем сервере, поэтому использовал следующий подход для перенаправления на «страницу обслуживания» для всех, кроме одного IP *

RewriteEngine on
RewriteCond %{REMOTE_ADDR} !**.**.**.*
RewriteRule !^maintenance/ http://www.website.co.uk/maintenance/ [R=302,L]

Источник: создание страницы для скрытия вашего блога на WordPress.


Это решение является Простейшим - Я предпочитаю его
Gerfried

1

Вы можете иметь более одного IP-адреса или даже другой вид разрешения, например, имя пользователя, имя хоста, ... подробнее здесь https://www.askapache.com/htaccess/setenvif/

SetEnvIf remote_addr ^123.123.123.1$ allowedip=1
SetEnvIf remote_addr ^123.123.123.2$ allowedip=1
SetEnvIf remote_addr ^123.123.123.3$ allowedip=1
SetEnvIf remote_addr ^123.123.123.4$ allowedip=1

Order deny,allow
deny from all
allow from env=allowedip


0

Добавьте следующую команду в файл .htaccess. И поместите этот файл в вашу папку htdocs.

Order Deny,Allow
Deny from all
Allow from <your ip> 
Allow from <another ip> 

0
ErrorDocument 403 /maintenance.html
Order Allow,Deny
Allow from #:#:#:#:#:#

Мне кажется, это работает (с использованием IPv6, а не IPv4). Я не знаю, отличается ли это для некоторых веб-сайтов, но для моего это работает.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.