Ограничение доступа через .htaccess, разрешаем доступ только однму ип, чет не выходит, как реализовать?

Question

[Антон Вебсайтовский]

Всем привет.

Запрещаю доступ всем кроме одного ип адреса.
.htaccess

Order Deny,Allow
Deny from all
Allow from 100.00.00.00

Забыл написать что домен через Cloudflare

Добавляю так, после чего пытаюсь зайти на сайт и не пускает, хотя я добавил свой ип, уже сто раз проверил, если убрать этот запрет, то на сайт пускает, в чем может быть проблема?

Answer 1

[granty]

Когда сайт проксируется через Cloudflare, все запросы идут с IP Cloudflare.

ваше решение - нехорошее, посетитель может прислать собственный заголовок X-Forwarded-For и указать в нём свой IP. И взломает ваш сайт.

Поставьте на веб сервер mod_cloudflare и не изобретайте велосипед.

PS: mod_cloudflare работает только для Веб-сервера, то есть ipfirewall/iptables работать не будут - в них будет попадать клаудфларевский IP.

Comments

[wisgest]

В таком случае IP посетителя должен быть добавлен через запятую к отправленному им заголовку (или наоборот, не помню порядок). Просто надо учесть эту возможность в регулярном выражении.

[granty]

wisgest, да, IP Cloudflare должен быть последним в списке (или единственным).
Но в статье https://habr.com/ru/post/177113/ пишут:

Но в нашем случае настройки не были до конца корректными и весь HTTP_X_FORWARDED_FOR заменялся заголовком от браузера x-forwarded-for

то есть, содержимое сильно зависит от настройки прокси.

И как пишут на phpfaq.ru/tech/ip#notes - ещё и от хостера может зависеть.

PS: И, если узнать реальный IP сервера, к нему можно обратиться в обход клаудфларе, и подсунуть свой заголовок X-Forwarded-For.