Cómo bloquear direcciones IP en el nivel de servidor HTTP de Apache

Last update: Tue Jul 16 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

La mayoría de los firewalls de aplicaciones web (WAF) pueden contener listas de bloqueados de direcciones IP. Sin embargo, si está ejecutando el servidor HTTP de Apache y desea bloquear direcciones IP inmediatamente, siga los pasos del artículo para crear una lista de acceso o utilice la función Require de Apache.

Descripción description

Entorno

Adobe Experience Manager (AEM)

Problema

AEM Cuando el sitio sufre un ataque de denegación de servicio (DoS), correo no deseado o le hackean, ¿cómo bloquea las direcciones IP en el nivel de servidor HTTP de Apache (Dispatcher)? (en inglés)

Resolución resolution

Solución

La mayoría de los firewalls de aplicaciones web (WAF), como Mod Security, pueden generar listas de bloqueados de direcciones IP.

Sin embargo, si está ejecutando el servidor HTTP de Apache y desea bloquear direcciones IP inmediatamente, siga estos pasos:

Cree un archivo con el nombre block-offending-ips.conf en el servidor.

Abra el archivo en un editor y agregue una directiva de ubicación que impida que todas las direcciones IP ofensivas tengan acceso a las direcciones URL que desee bloquear. A continuación, hay dos opciones para el contenido del archivo:

Si la solicitud se procesa como proxy (a través de CDN, Equilibrador de carga, etc.) y la IP del usuario remoto solo está en un encabezado como X-Forwarded-For, entonces se puede usar esta configuración. Tenga en cuenta que esta configuración no se aplica si remoteip_module está configurado.

code language-none

code language-none
`<LocationMatch "/.*"> Order Allow,Deny Allow from all SetEnvif X-Forwarded-For "10\.42\.137\.123" DenyAccess SetEnvif X-Forwarded-For "122\.6\.218\.101" DenyAccess #Repeat the "SetEnvlf X-Forwarded-For ..." for each IP you want to block Deny from env=DenyAccess </LocationMatch>`

<LocationMatch "/.*">
Order Allow,Deny
Allow from all
SetEnvif X-Forwarded-For "10\.42\.137\.123" DenyAccess
SetEnvif X-Forwarded-For "122\.6\.218\.101" DenyAccess
#Repeat the "SetEnvlf X-Forwarded-For ..." for each IP you want to block
Deny from env=DenyAccess
</LocationMatch>

Alternativamente, si el usuario remoto está accediendo directamente a Apache o está utilizando remoteip_module (consulte [ 1] ) para extraerlo y configurarlo en Apache, puede utilizar directamente la función Requerir de mod_authz_core (Apache 2.4):

code language-none

code language-none
`<LocationMatch "/.*"> <RequireAll> Require all granted Require not ip 10.42.137.123 Require not ip 122.6.218.101 #Repeat the "Require not ip ..." for each IP you want to block </RequireAll> ></LocationMatch><`

<LocationMatch "/.*">
<RequireAll>
Require all granted
Require not ip 10.42.137.123
Require not ip 122.6.218.101
#Repeat the "Require not ip ..." for each IP you want to block
</RequireAll>
></LocationMatch><

[ 1]

code language-none
`# Extract true client IP from header added by load balancer/CDN <IfModule remoteip_module> # valid for ELB or ELB+CloudFront RemoteIPHeader X-Forwarded-For </IfModule>`

Coloque el archivo block-offending-ips.conf en la carpeta /etc/conf.d del servidor web Apache.
Reinicie el servidor HTTP de Apache.

recommendation-more-help

3d58f420-19b5-47a0-a122-5c9dab55ec7f