https://ns.opennet.ru/openforum/vsluhforumID8/6014.html ОС - Fedora 7.<br>Имеется схема nginx 0.6.31 + apache 2.2.6 + mod_rpaf 0.6<br>apache работает как backend, слушает на 8080 порту.<br>nginx слушает на 80 и всё, кроме статики отдаёт apache.<br>rpaf настроен. В access_log пишутся "реальные" IP.<br><br>Заметил такую странную вещь, если есть .htaccess файл и я в корень сайта кладу например<br>order allow,deny<br>allow from [ip с которого соединяюсь]<br>deny from all<br><br>Апач даёт<br>Forbidden<br>You don't have permission to access...<br>Хотя казалось бы указано allow from [ip с которого соединяюсь]<br><br>Если я лезу на апач "напрямую" через http://external_ip:8080/, то правило в .htaccess отрабатывает корректно - я вижу странчку.<br><br>Что примечательно, если .htaccess выглядит так<br>order allow,deny<br>allow from [ip с которого соединяюсь]<br>allow from 127.0.0.1<br>deny from all<br>и соединяюсь к nginx (а он в свою очередь к apache) через http://external_ip/ - получаю страничку! Нету никакого Forbidden!..<br><br>Т.о., прихожу к выводу что mod_rpaf не работает в конструкциях .htaccess и передаёт ip fronte https://ns.opennet.ru/openforum/vsluhforumID8/6014.html#24 Fri, 04 May 2012 14:25:17 GMT debian 6.0<br><br>модуль mod_extract_forwarded не удалось скомпилить и подключить по нормальному иза ошибки какойто с прокси, в принцыпе там в исходнике правится #define, но почемуто после этого не стало работать, то что работало в centos.<br><br>вот что получилось и работает.<br>rpaf.conf<br>&lt;IfModule mod_rpaf.c&gt;<br>RPAFenable On<br>RPAFsethostname On<br>RPAFproxy_ips 184.xx.xx.xxx 127.0.0.1<br>&lt;/IfModule&gt;<br><br>Nginx. 1.2<br>site.net<br>server {<br>&lt;------&gt;listen 80;<br>&lt;------&gt;server_name site.net *.site.net;<br><br>&lt;------&gt;root /home/www/tube/site.net/public_html;<br><br>#&lt;-----&gt;access_log /home/www/tube/site.net/log/ng-acc.log;<br>&lt;------&gt;error_log /home/www/tube/site.net/log/ng-err.log;<br><br> location / {<br> proxy_pass http://184.xx.xx.xx:81;<br> proxy_redirect default;<br> proxy_set_header Host $host;<br> proxy_set_header X-Real-IP $remote_addr;<br> proxy_set_header REMOTE_ADDR $remote_addr;<br>proxy_set_header X-Forwarded-For $proxy_add_x_ https://ns.opennet.ru/openforum/vsluhforumID8/6014.html#23 Thu, 29 Mar 2012 20:10:30 GMT &gt; Спасибо, но тут не в этом дело, mod_rpaf просто неподдерживает этого, так <br>&gt; же как и аторизации. Рещение - mod_extract_forwarded.<br><br>Выше, в http://www.opennet.ru/openforum/vsluhforumID8/6014.html#17 верно написали, как правильно пользоваться директивами (Order / Allow / Deny) .htaccess <br><br>Ссылка на оф документацию: http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order<br><br>Небольшая проверка показывает, что директивы .htaccess отрабатывают идентично как при наличии, так и при отсутствии mod_rpaf-0.6.<br> https://ns.opennet.ru/openforum/vsluhforumID8/6014.html#22 Fri, 16 Mar 2012 13:01:06 GMT &gt; Возможно mod_rpaf или apache версия играет роль, мы для семя пометили модуль <br>&gt; как ненадежный и отказались от его использования. mod_extract_forwarded <br><br>Версия mod_rpaf играет роль. Используйте 0.6 или патченную 0.5.<br> https://ns.opennet.ru/openforum/vsluhforumID8/6014.html#21 Thu, 08 Mar 2012 22:20:57 GMT &gt; Возможно mod_rpaf или apache версия играет роль, мы для семя пометили модуль <br>&gt; как ненадежный и отказались от его использования. mod_extract_forwarded http://www.openinfo.co.uk/apache/index.html <br>&gt; на боевый машинах с хостингом используется пол года, проблем нет, версии <br>&gt; разные.<br><br>Возможно, в 2.4 есть так же модуль http://httpd.apache.org/docs/2.4/mod/mod_remoteip.html<br> https://ns.opennet.ru/openforum/vsluhforumID8/6014.html#20 Thu, 08 Mar 2012 21:42:01 GMT Возможно mod_rpaf или apache версия играет роль, мы для семя пометили модуль как ненадежный и отказались от его использования. mod_extract_forwarded http://www.openinfo.co.uk/apache/index.html на боевый машинах с хостингом используется пол года, проблем нет, версии разные.<br><br>&gt;[оверквотинг удален]<br>&gt; CentOS-6.2 <br>&gt; # httpd -v <br>&gt; Server version: Apache/2.2.15 (Unix) <br>&gt; Server built: Feb 13 2012 22:31:42 <br>&gt; # apachectl -t -D DUMP_MODULES &#124; grep rpaf <br>&gt; Syntax OK <br>&gt; rpaf_module (shared) <br>&gt; # nginx -v <br>&gt; nginx version: nginx/0.8.54 <br>&gt; ЧЯДНТ?<br><br> https://ns.opennet.ru/openforum/vsluhforumID8/6014.html#19 Thu, 08 Mar 2012 21:23:19 GMT &gt; Спасибо, но тут не в этом дело, mod_rpaf просто неподдерживает этого, так <br>&gt; же как и аторизации. Рещение - mod_extract_forwarded.<br><br># cat .htaccess<br>Order Deny,Allow<br>Deny From all<br>Allow From xxx.xxx.238.231<br><br>xxx.xxx.157.114 - - [08/Mar/2012:23:17:12 +0200] "GET /test/ HTTP/1.0" 403 283 "-" "Mozilla/5.0 (Windows NT 5.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"<br><br>xxx.xxx.238.231 - - [08/Mar/2012:23:17:27 +0200] "GET /test/ HTTP/1.0" 200 61688 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"<br><br>[Thu Mar 08 23:17:12 2012] [error] [client xxx.xxx.157.114] client denied by server configuration: /var/www/vhosts/domain.com.ua/test/<br><br>CentOS-6.2<br><br># httpd -v<br>Server version: Apache/2.2.15 (Unix)<br>Server built: Feb 13 2012 22:31:42<br><br># apachectl -t -D DUMP_MODULES &#124; grep rpaf<br>Syntax OK<br> rpaf_module (shared)<br><br># nginx -v<br>nginx version: nginx/0.8.54<br><br>ЧЯДНТ?<br> https://ns.opennet.ru/openforum/vsluhforumID8/6014.html#18 Fri, 02 Mar 2012 11:49:28 GMT Спасибо, но тут не в этом дело, mod_rpaf просто неподдерживает этого, так же как и аторизации. Рещение - mod_extract_forwarded.<br> https://ns.opennet.ru/openforum/vsluhforumID8/6014.html#17 Fri, 02 Mar 2012 11:43:25 GMT Вы неправильно задаёте конструкцию Order. Последовательность должна быть другой и после запятой недолжно быть пробелов.<br><br>Правильно так:<br> Order Deny,Allow<br> Deny From all<br> Allow From 10.1.1.1<br><br>и всё работает как надо.<br><br>Для справки. Как обрабатываются эти дериктивы:<br><br>Order Allow,Deny<br> Сперва, проверяются все директивы Allow; по крайней мере одна должна соответствовать, или запрос отвергается. Далее, провеляются все директивы Deny. Если какие-либо соответствуют, то запрос отвергается. В конце, любой запрос, который не соответствует директиве Allow или Deny отвергается по умолчанию.<br><br>Order Deny,Allow<br> Сперва, проверяются все директивы Deny; если какая-либо соответствует, то запрос отвергается, если нет соответствия в директиве Allow. Любой запрос, который не соответствует директиве Allow или Deny пропускается.<br> https://ns.opennet.ru/openforum/vsluhforumID8/6014.html#16 Tue, 09 Aug 2011 09:36:26 GMT Добрый день,<br><br>только что наткнулся на эту проблему. Смотрю ничего не изменилось c того времени. <br><br>.htaccess с кодом не работает<br><br>order deny,allow<br>deny from all<br>allow from 111.111.111.111<br><br>Решение простое, заменить mod_rpaf на mod_extract_forwarded<br><br>1. инсталируем EPEL из http://fedoraproject.org/wiki/EPEL<br>http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm<br><br>2. инсталируем mod_extract_forwarded<br>yum install --enablerepo=epel mod_extract_forwarded.i386<br><br>4. коректируем конфиг /etc/httpd/conf.d/mod_extract_forwarded.conf<br><br>по сути он стандартный, только меняем значени MEFaccept на нужное<br><br>MEFaccept 127.0.0.1<br><br>все работает. :)<br><br>&gt;[оверквотинг удален]<br>&gt; deny from all <br>&gt; и соединяюсь к nginx (а он в свою очередь к apache) через <br>&gt; http://external_ip/ - получаю страничку! Нету никакого Forbidden!..<br>&gt; Т.о., прихожу к выводу что mod_rpaf не работает в конструкциях .htaccess и <br>&gt; передаёт ip frontend`а (в моём случае 127.0.0.1).<br>&gt; Поискал в инете, нашёл только оди