Discussion :

[cmascart]

Bonjour,

Je tente de bloquer un visiteur indésirable, qui fouille régulièrement mon site web, hébergé sur un VPS Linux Ubuntu, chez OVH Strasbourg.
Son IP commence par 188.143.x.x, les deux derniers octets changent, d'une visite à l'autre.

Je n'utilise jamais les ports par défaut.
Dans le certificat ssl_gateway d'OVH, j'ai remplacé le port http 80 par le port 12345, et programmé Apache2 pour l'écouter.
Ca fonctionne, c'est parfait !

J'ai donc programmé une règle UFW
ufw insert 4 deny from 188.143.0.0/16 to any port 12345 proto tcp

Ok, elle apparaît bien dans la liste des ufw status numbered
[ 4] Anywhere DENY IN 188.143.0.0/16
Les trois premiers ne sont que des DENY du même genre.

Ce matin, je constate qu'il passe toujours.

Mon IP commence toujours par 111.222, que m'alloue mon FAI,
telle que le révèle la superglobale PHP $_SERVER['REMOTE_ADDR']

Intrigué, je me bloque moi-même en https, pour faire un test
ufw insert 2 deny from 111.222.0.0/16 to any port 12345 proto tcp
[ 2] 12345/tcp DENY IN 111.222.0.0/16

Ensuite, je surfe sur mon VPS, auquel j'ai toujours accès, alors que je me suis interdit l'accès au port http.
Même après un redémarrage d'Apache2 et d'UFW.

Visiblement, la règle [2] DENY d'UFW ne me bloque pas du tout.
Je me demande si ce n'est pas dû au certificat ssl gateway.
Car mon nom de domaine monDomaine.be pointe sur le certificat, chez dns.be,
qui, à son tour, désigne l'IP et le port http 12345 de mon VPS.

Est ce que le certificat OVH ssl_gateway ne masquerait pas la véritable IP de mes visiteurs http, paralysant, ainsi, le firewall UFW ?
Je ne parle pas des autres services (ssh, mysql, ...) qui ne sont pas concernés par le certificat.

Alors que pourtant la superglobale PHP $_SERVER['REMOTE_ADDR'] la détecte bien.
Pour qu'il la détecte, je me souviens d'avoir du installer (il y a quatre ans) un fichier dans la config de PHP
Sans quoi, tous mes visiteurs avaient la REMOTE_ADDR du certificat.

Comment configurer UFW pour qu'il filtre les demandes en HTTP sur base de l'IP réelle du visiteur ?
Afin de bloquer les 🐗 qui 🐽fouillent impunément mon site web.
Si PHP affiche bien l'IP réelle du visiteur, UFW doit aussi pouvoir y avoir accès.

Merci.
Christian.

[disedorgue]

Pas tout compris, mais le port https est 443 par défaut et non 80