Filtrage par adresse ip

Le
Hugolino
Bonsoir,

Je suis prof et j'ai mis en place un blog pour un groupe d'élèves
(projet éducatif toussa). Mais comme ç'est le gros bord<beep!!> chez
Mme EducNat, c'est ma machine perso chez moi qui héberge le blog.
(Plus facile que de courir après les mecs du rectorat pour qu'ils me
filent un accès r00t sur le Linux du lycée (bite'n'couteau as usual:))

Hier le proviseur adjoint me souffle à l'oreille qu'il serait
souhaitable que le blog ne soit accessible que de l'intérieur du lycée.

Donc j'ajoute un
8<--8<8<-8<-8<-8<-8<
order allow,deny
allow from AAA.BBB.CCC.DDD
8<--8<8<-8<-8<-8<-8<
dans la config du vhost de mon apache perso à moi que j'ai, tout en
maugréant in-petto que j'aurais du faire le forcing pour installer le
blog en question sur une machine du lycée

Il y a vraiment peu de chances qu'un méchant acoeur s'attaque à mon tout
petit blog, mais j'ai entendu dire que le filtrage par IP, c'était à peu
près aussi efficace que de protéger un pavillon "Sam' sufffit" avec un
panneau "Chien Méchant".

Bref: comment faire en sorte que mon vhost apache ne réponde que si la
connexion vient du lycée (dont je ne connais à priori que l'IP).


Merci de votre aide.


--
> > Tu veux la commande pour me mettre dans ta blacklist ?
> Et rater le phénomène de foire le plus célèbre du petit monde
> linuxo-useneto-ircien francophone après luc2 ?
> Certainement pas.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #884713
Salut,


Il y a vraiment peu de chances qu'un méchant acoeur s'attaque à mon tout
petit blog, mais j'ai entendu dire que le filtrage par IP, c'était à peu
près aussi efficace que de protéger un pavillon "Sam' sufffit" avec un
panneau "Chien Méchant".


Au sein d'un réseau local il est assez facile d'établir des connexions
TCP en usurpant une adresse IP mais c'est beaucoup plus difficile à
travers internet. Récemment je répondais ceci à une question simimaire :

"Est-il possible qu'un attaquant envoit des requêtes au serveur web
(depuis le net) en déguisant son adresse ip comme provenant du réseau local?

Oui, il peut envoyer des paquets. Mais la probabilité qu'il puisse
établir une connexion TCP par ce biais est très faible, car il sera en
aveugle : il ne recevra jamais les réponses du serveur. Il devra
notamment prédire les numéros de séquence TCP de ton serveur, ce qui est
devenu très difficile avec les piles TCP/IP actuelles."

C'est plutôt une question pour le forum securité, non ?

Hugolino
Le #884712
Le Sat, 22 Dec 2007 13:15:16 +0100, Pascal Hambourg a écrit:
Salut,


Il y a vraiment peu de chances qu'un méchant acoeur s'attaque à mon tout
petit blog, mais j'ai entendu dire que le filtrage par IP, c'était à peu
près aussi efficace que de protéger un pavillon "Sam' sufffit" avec un
panneau "Chien Méchant".


Au sein d'un réseau local il est assez facile d'établir des connexions
TCP en usurpant une adresse IP mais c'est beaucoup plus difficile à
travers internet. Récemment je répondais ceci à une question simimaire :

"Est-il possible qu'un attaquant envoit des requêtes au serveur web
(depuis le net) en déguisant son adresse ip comme provenant du réseau local?

Oui, il peut envoyer des paquets. Mais la probabilité qu'il puisse
établir une connexion TCP par ce biais est très faible, car il sera en
aveugle : il ne recevra jamais les réponses du serveur. Il devra
notamment prédire les numéros de séquence TCP de ton serveur, ce qui est
devenu très difficile avec les piles TCP/IP actuelles."


OK, merci de ta réponse.

C'est plutôt une question pour le forum securité, non ?


Je n'y ai tout simplement pas pensé.

--
Smart men are smarter than they look; smart women look smarter than they are.
Hugo (né il y a 1 377 872 794 secondes)


Publicité
Poster une réponse
Anonyme