Apache 2: SetEnvIf "Faixa de IP"

10

Na minha configuração do Apache, quero definir uma variável de ambiente se perceber que o visitante vem de um intervalo de IP específico. Atualmente eu faço desta maneira:

SetEnvIfNoCase Remote_Addr "^194\.8\.7[45]\." banned=spammer-ip
SetEnvIfNoCase Remote_Addr "^212\.156\.170\." banned=spammer-ip

O que eu preferiria é algo como isto:

SetEnvIfIpRange 194.8.74.0/23 banned=spammer-ip
SetEnvIfIpRange 212.156.170.0/24 banned=spammer-ip

... porque acho que converter um endereço IP em uma string e depois fazer uma expressão regular é um total desperdício de recursos.

Eu poderia fazer um

Deny From 194.8.74.0/23

... mas não recebo uma variável que possa verificar na minha página de erro 403 - para descobrir o motivo pelo qual o acesso foi negado.

Alguma sugestão do que eu possa sentir falta? Existe um Apache2 MOD que pode definir variáveis de ambiente com base em "Intervalos de endereços IP"?

apache-2.2 ip environment-variables

— BlaM
fonte

4

O que você tem (SetEnvIfNoCase Remote_Addr "^ abc" env_key = env_value) é o melhor que você pode fazer facilmente. Eu já vi esse estilo de configuração implementado em um cluster de máquinas muito carregado, sem nenhuma degradação perceptível no desempenho. Concordo em usar expressões regulares, quando os intervalos CIDR são mais apropriados, é irritante. Você pode escrever um pequeno programa para gerar automaticamente a configuração a partir de uma lista de intervalos CIDR.

Se você estiver familiarizado com o Perl, poderá criar um manipulador modperl, que permita / negue solicitações da maneira que você escolher. O modperl permite que seu código seja executado em pontos diferentes em uma solicitação HTTP - mod_perl 2.0 Fases do ciclo de solicitação HTTP . PerlAuthzHandler seria o manipulador apropriado para usar.

Lockie

— Lockie
fonte

8

esteja ciente de que as variáveis definidas por meio do SetEnv não são visíveis em algumas operações (consulte a matriz):

http://www.onlinesmartketer.com/2010/05/27/apache-environment-variables-visibility-with-setenv-setenvif-and-rewriterule-directives/

sua solução é

SetEnvIfExpr "-R '10.0.0.0/8' || -R '172.16.0.0/12' || -R '192.168.0.0/16'" rfc1918

consulte https://httpd.apache.org/docs/trunk/mod/mod_setenvif.html#SetEnvIfExpr

— Hans-Joachim Kliemeck
fonte

Esta deve ser a resposta aceita! E o melhor. Também funciona em .htaccess

— Jeroen Vermeulen - MageHost

8

Você pode usar a formatação CIDR com o Apache 2.4, que permite <If>:

<If "%{REMOTE_ADDR} -ipmatch 194.8.74.0/23">
    SetEnv banned = spammer-ip
</If>

— Greg
fonte

Obrigado sua resposta! Note-se que houve um erro na minha versão Apache, para que eu tinha para delimitar a faixa de IP entre aspas simples: mail-archives.apache.org/mod_mbox/httpd-docs/201406.mbox/...

— Lucas Cimon

0

Essa não é realmente uma solução para ir do RegExp para o intervalo de IP , mas encontrei um bom script hospedado pelo Google para converter um intervalo de IP em um regexp correspondente. Também pode ser útil para alguns de vocês ...

Como excluo o tráfego de um intervalo de endereços IP?

[Atualizar]

Parece que o Google removeu a Ferramenta de Endereço IP (ou pelo menos o link que eles têm no site está quebrado), mas há uma ferramenta semelhante aqui: http://www.analyticsmarket.com/freetools/ipregex

— BlaM
fonte