Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: nginx+apache не работают allow den y в .htaccess
mod_rpaf вроде работает. В логах и phpinfo выдают нормальный адрес
браузера. Не помню уже чего я сделал DNAT а не REDIRECT, но вроде
адрес отправителя в iptables до nginx не меняется, а значит если
проблема есть, то должна быть у всех кто использует связку
nginx+apache с deny,allow даже без прозрачного проксированя с iptables, как у
меня.
Тем более что запрос минуя изврат с брендмауером на http://ip:81/ так
же лупится с Forbidden.
Может кто-нибудь проверить у себя? Есть подозрение что для таких дел
нужен какой-то другой модуль. А может надо как-то сделать так, чтобы
mod_rpaf срабатывал раньше, или апач смотрит на реальный адрес откуда
пакет пришел?
Ну и phpinfo:
Apache Environment
HTTP_X_REAL_IP [АЙПИ БРАУЗЕРА]
HTTP_X_FORWARDED_FOR [АЙПИ БРАУЗЕРА]
SERVER_ADDR [АЙПИ СЕРВЕРА]
SERVER_PORT 80
REMOTE_ADDR [АЙПИ БРАУЗЕРА]
HTTP Headers Information
SERVER_ADDR [АЙПИ СЕРВЕРА]
SERVER_PORT 80
REMOTE_ADDR [АЙПИ БРАУЗЕРА]
Как видим, все выглядит нормально, вроде
> Сумасшедший конфиг и меня свёл с ума. Прошу не читать пред. сообщение
> и показать вывод phpinfo() если таковой есть (я про php). Ибо похоже,
> что не работает rpaf.
> 13 января 2011 г. 5:03 пользователь Евгений 'Rush' Непомнящий
> <rush.zlo@xxxxxxxxx> написал:
>> Да, в такой сумасшедшей конфигурации так и должно быть, ибо правилом
>>
>> iptables -t nat -A PREROUTING -p tcp -d 100.100.100.100 --dport 80
>> -j DNAT --to 100.100.100.100:81
>>
>> вы меняете адрес отправителя пакета на адрес сервера
>> (100.100.100.100). MPM ITK _ТУТ_ не при чём.
>>
>> Чего же вы хотите добиться - из сумасшедшей конфиги и вашего сообщения
>> не ясно, прошу подробностей.
>>
>> 13 января 2011 г. 0:16 пользователь Bykov Subscribe <s@xxxxxxxxxxxxxxx>
>> написал:
>>> Столкнулся с проблемой.
>>> nginx:81 установлен как фронтенд над апачем:80, mod_rpaf настроен.
>>> Перенаправляются все запросы через брэндмауер так:
>>> iptables -t nat -A PREROUTING -p tcp -d 100.100.100.100 --dport 80
>>> -j DNAT --to 100.100.100.100:81
>>>
>>> так вот, если в .htaccess сделать
>>> <Limit GET POST>
>>> order deny,allow
>>> deny from all
>>> allow from MY.IP.ADD.R
>>> </Limit>
>>>
>>> Выкидывает с ошибкой 403 FOrbidden
>>> Если добавить allow 100.100.100.100 (ip сервера) - работает нормально,
>>> но, ясен
>>> пень, тогда это вообще не нужно
>>>
>>>
>>> Оно так и не должно работать в такой связке? Кто сталкивался -
>>> подскажите плиз. У меня еще в добавок MPM ITK установлен, не знаю,
>>> может ли это как то влиять
>>>
>>>
>>> _______________________________________________
>>> nginx-ru mailing list
>>> nginx-ru@xxxxxxxxx
>>> http://nginx.org/mailman/listinfo/nginx-ru
>>>
>>
>>
>>
>> --
>> Cogitum ergo sum
>>
--
С уважением,
Bykov mailto:s@xxxxxxxxxxxxxxx
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru
|