Re: nginx+apache не работают allow deny в .htaccess

Bykov Subscribe s на bykov.odessa.ua
Чт Янв 13 23:13:58 MSK 2011 

mod_rpaf  вроде  работает.  В  логах и phpinfo выдают нормальный адрес
браузера.  Не  помню  уже  чего  я сделал DNAT а не REDIRECT, но вроде
адрес  отправителя  в  iptables  до  nginx  не меняется, а значит если
проблема   есть,   то   должна   быть  у  всех  кто  использует связку
nginx+apache с deny,allow даже без прозрачного проксированя с iptables, как у меня.
Тем  более что запрос минуя изврат с брендмауером на http://ip:81/ так
же лупится с Forbidden.

Может  кто-нибудь  проверить у себя? Есть подозрение что для таких дел
нужен  какой-то  другой модуль. А может надо как-то сделать так, чтобы
mod_rpaf  срабатывал раньше, или апач смотрит на реальный адрес откуда
пакет пришел?

Ну и phpinfo:
Apache Environment
HTTP_X_REAL_IP  [АЙПИ БРАУЗЕРА]
HTTP_X_FORWARDED_FOR    [АЙПИ БРАУЗЕРА]
SERVER_ADDR     [АЙПИ СЕРВЕРА]
SERVER_PORT     80
REMOTE_ADDR     [АЙПИ БРАУЗЕРА]

HTTP Headers Information
SERVER_ADDR     [АЙПИ СЕРВЕРА]
SERVER_PORT     80
REMOTE_ADDR     [АЙПИ БРАУЗЕРА]

Как видим, все выглядит нормально, вроде


> Сумасшедший конфиг и меня свёл с ума. Прошу не читать пред. сообщение
> и показать вывод phpinfo() если таковой есть (я про php). Ибо похоже,
> что не работает rpaf.

> 13 января 2011 г. 5:03 пользователь Евгений 'Rush' Непомнящий
> <rush.zlo at gmail.com> написал:
>> Да, в такой сумасшедшей конфигурации так и должно быть, ибо правилом
>>
>> iptables  -t  nat  -A PREROUTING -p tcp  -d 100.100.100.100 --dport 80
>> -j DNAT --to 100.100.100.100:81
>>
>> вы меняете адрес отправителя пакета на адрес сервера
>> (100.100.100.100). MPM ITK _ТУТ_ не при чём.
>>
>> Чего же вы хотите добиться - из сумасшедшей конфиги и вашего сообщения
>> не ясно, прошу подробностей.
>>
>> 13 января 2011 г. 0:16 пользователь Bykov Subscribe <s at bykov.odessa.ua> написал:
>>> Столкнулся с проблемой.
>>> nginx:81   установлен   как   фронтенд  над  апачем:80,  mod_rpaf  настроен.
>>> Перенаправляются все запросы через брэндмауер так:
>>> iptables  -t  nat  -A PREROUTING -p tcp  -d 100.100.100.100 --dport 80
>>> -j DNAT --to 100.100.100.100:81
>>>
>>> так вот, если в .htaccess сделать
>>> <Limit GET POST>
>>> order deny,allow
>>> deny from all
>>> allow from MY.IP.ADD.R
>>> </Limit>
>>>
>>> Выкидывает с ошибкой 403 FOrbidden
>>> Если  добавить  allow  100.100.100.100 (ip сервера)  - работает нормально, но, ясен
>>> пень, тогда это вообще не нужно
>>>
>>>
>>> Оно  так  и  не  должно  работать  в  такой  связке? Кто сталкивался -
>>> подскажите  плиз.  У  меня  еще в добавок MPM ITK установлен, не знаю,
>>> может ли это как то влиять
>>>
>>>
>>> _______________________________________________
>>> nginx-ru mailing list
>>> nginx-ru at nginx.org
>>> http://nginx.org/mailman/listinfo/nginx-ru
>>>
>>
>>
>>
>> --
>> Cogitum ergo sum
>>






-- 
С уважением,
 Bykov                          mailto:s at bykov.odessa.ua

Подробная информация о списке рассылки nginx-ru