Wordpress Login hinter einem RP einschränken

[wario]

ich überleg mir echt langsam wieder den NPM da runter zu werfen. Ist ja grausam.

kein Plan gerade wie ich de Datei da reinziehe, und was scp ist. Ich bin ma off, Kopf schmerzt schonwieder grausam.

 

[blurrrr]

Guckste mal morgen ganz in Ruhe hier: https://help.ubuntu.com/community/SSH/TransferFiles#Secure_Copy_.28scp.29

 

[wario]

ich frag mich wieso es nicht von anfang an funktioniert. x fowarded for ist da ja auch drin. Ich meine das sollte doch von Haus aus so eingestellt werden dass die realen IPs gefowardet werden, oder ist eher kontraproduktiv für manche Anwendungen?

Vielleicht ist auch einfach meine wp config falsch?

 

[blurrrr]

Vielleicht ist auch einfach meine wp config falsch?

Weiss man nicht, ich hab sowas nie hinter einem Reverse-Proxy betrieben. Fakt ist, dass der Reverse-Proxy den HTTP-Header um den entsprechenden Eintrag erweitern muss und das Ziel das Feld auch auswerten muss, ansonsten ist halt die IP vom Reverse-Proxy drin und wird entsprechend verarbeitet.

 

[wario]

das spannende ist, vielleicht hilfts ja weiter: das Wordpress statistik tool merkt sehr wohl wenn eine fremde IP die Seite anbrowst. Browse ich mit meinem Smartphonegerät im LTE Netz meine Webpage an, wird das angezeigt. Mache ich es mit meiner Workstation im LAN wird es nicht angezeigt, genauso wie im Statistik tool eingestellt, also muss dem Kollegen Wordpress ja eine fremde IP angezeigt bekommen??

 

[blurrrr]

Ach hast Du das die ganze Zeit immer nur von intern versucht?

EDIT: Primär sollte sowas immer erstmal von extern getestet werden. Später kann man dann noch - sofern erforderlich - noch Ausnahmen für interne Netze abbilden.

 

[wario]

es funktioniert von extern aus dem LTE Netz ebenso nicht, nur wenn der RP in der htaccess drin ist, komme ich in den Adminbereich.
Keine Ahnung wie das statsitik tool das zählt.

 

[Fusion]

Vielleicht steh ich ja auf dem Schlauch, aber wenn du den Zugriff in htaccess für den Reverse Proxy verbietet, wie soll dieser dann Verkehr (mit gesetzten Headern) an WordPress weiterleiten?

Die Verbindung geht ja vom Proxy aus, nur dass dieser eben über die http Header die Infos mit weitergibt 'Hey, die Anfrage kommt real von IP bla bla'.

 

[wario]

ne IP RP will ich ja garnicht verbieten, und klar der RP in der Allow Liste, aber komischerweise können sich dann alle Geräte egal mit welcher IP anmelden.
Ich muss keine andere IPs angeben um da rein zu kommen.

enweder habe ich nen config fehler in WP (siehe anfangspost) oder der RPM scheint die reale IP im header nicht zu übermittlen.

Blurrrs und Howcountries configs haben keine Auswirkungen

 

[wario]

kann ich irgendwie testens ob ein Header in einem Packet die reale IP enthält?

 

[wario]

hab nun die docker nginx.conf so abgeändert:

http {
        include                       /etc/nginx/mime.types;
        default_type                  application/octet-stream;
        sendfile                      on;
        server_tokens                 off;
        tcp_nopush                    on;
        tcp_nodelay                   on;
        client_body_temp_path         /tmp/nginx/body 1 2;
        keepalive_timeout             90s;
        proxy_connect_timeout         90s;
        proxy_send_timeout            90s;
        proxy_read_timeout            90s;
        ssl_prefer_server_ciphers     on;
        gzip                          on;
        proxy_ignore_client_abort     off;
        client_max_body_size          2000m;
        server_names_hash_bucket_size 1024;
        proxy_http_version            1.1;
        proxy_set_header              Host $host;
        proxy_set_header              X-Real-IP $remote_addr;
        proxy_set_header              X-Forwarded-Scheme $scheme;
        proxy_set_header              X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header              Accept-Encoding "";
        proxy_cache                   off;
        proxy_cache_path              /var/lib/nginx/cache/public  levels=1:2 keys_zone=public-cache:30m max_size=192m;
        proxy_cache_path              /var/lib/nginx/cache/private levels=1:2 keys_zone=private-cache:5m max_size=1024m;

den auskommtenierten Teil von howcountries config hab ich weg gelassen. Keine Änderung. die htaccess lässt immer noch alles durch bei
allow from RP_IP

 

[Fusion]

Kannst grad nochmal auffrischen.. Wen *genau* willst du vom Zugriff auf den Reverse Proxy abhalten bzw indirekt von WordPress fernhalten?

 

[blurrrr]

die htaccess lässt immer noch alles durch bei allow from RP_IP

Natürlich! Geht doch auch alles über den RP (oder seh ich das falsch?).

IP ist nicht gleich HTTP (die Protokolle sind schon grundsätzlich auf unterschiedlichen OSI-Layern unterwegs - Du siehst - da simma wieder - OSI-Layer ). "IP" ist u.a. für das "Routing" zuständig (Internet <-> RP <-> Ziel). Das ist das EINE... das ANDERE ist HTTP, wo in den "HTTP"-Header (nicht IP-Header!), die "real anfragende IP" verewigt wird. Das kann man sich alternativ auch vorstellen, wie eine Anfrage bei einem Webserver, wo a) die IPs zwecks Routing genutzt werden und b) im HTTP-Header der anzufragende FQDN steht. Hat also mit "IP" erstmal so "garnichts" zu tun.

Der Client spricht ja auch nicht direkt mit dem Webserver, sondern mit dem Reverse-Proxy, welcher wiederum mit dem Webserver spricht (das hat auch nichts mit "Routing" zu tun)

"Ich" gebe "Dir" ein Paket, welches Du dann "@Fusion" gibst. @Fusion und ich stehen somit nicht in direktem Kontakt. Jetzt hast Du eine Regel, dass nur "Du" Pakete an @Fusion geben darfst. Trotzdem wird "mein" Paket bei @Fusion ankommen, ich hab es Dir gegeben (ist ja erlaubt) und Du hast es @Fusion gegeben (was Du auch erlaubt hast). Bist also ein Opfer Deiner eigenen Regel

EDIT: Ganz vergessen: Die HTTP-Header-Erweiterung... Stell Dir vor, @Fusion steckt noch eine Karte zum Paket, wo drauf steht, dass das Paket von "mir" kommt. @Fusion muss das machen, da nur er weiss, dass "ich" ihm das Paket gegeben habe. Nun liegt es eben an "Dir", ob Du dann noch auf die Karte guckst (reale Quell-IP), oder Dich einfach nur über das Paket von @Fusion freust (IP vom RP).

 

[wario]

das verstehe ich, und wie bringe ich WP jetzt nun bei dass es nur bestimmte IPs durchlässt in die Admin konsole und nicht jeden wildfremden Menschen?

nur ich an der Workstation darf sich einloggen, alle anderen access denied

 

[Howcountry]

Du bist doch mit deiner WP Kiste im selben Netz? wenn ja kannst Du doch deine Anfragen an die WP kiste komplett ohne RP machen und damit auch für den admin Zugang freigeben. Alle anderen Anfragen also auch die über den RP dürfen dann nicht auf die admin Oberfläche zugreifen. oder stehe ich auf einem Schlauch?

 

[Howcountry]

Die IP über den RP bleibt immer die IP vom RP. der RP schreibt nur im Header noch dazu von wo die Anfrage ursprünglich kam. Wenn WP aber nur die IP auswertet hilf Dir das nicht.

 

[wario]

wenn ich mit der IP auf die Webseite zugreife, werde ich wieder direkt über den RP geleitet via https://meine domain und das spiel geht von vorne los und komme nicht drauf wenn der RP nicht in der allow steht. Ich werde trotz IP:80 auf meine https://domain geleitet

Ich weiss auch nicht warum bei mir immer alles so kompliziert ist. tut mir leid

DNS eintrag in der pfsense rausnehmen? bzw Domain auf den Server direkt zeigen?

Probier heute nachmittag weiter bis später und danke nochmals für eure Hilfe. Fühle mich wieder wie n totaler bob

 

[Howcountry]

Ich hab da mal was vorbereitet:

<?php

foreach (getallheaders() as $name => $value) {
    echo "$name: $value\n <br>";
}

?>

das habe ich als header.php

unter header.howcountry.de/header.php Hinter einem NPM RP am laufen. da siehst du dann genau was hinter dem RP ankommt.
unter header2.howcountry.de/header.php ist dasselbe Script aber ohne RP dazwischen.

 

[blurrrr]

Das wäre dann ggf. auch Aufgabe des Reverse-Proxy, keine Ahnung, wie bei Wordpress derzeit der aktuelle Admin-Login ist "/wp-admin" oder "/wp-login", oder sonst irgendwas, aber da könnte man ggf. eben hingehen und mit dem "Pfad" arbeiten (würde man mit einer htaccess auch nicht anders machen). Halt irgendwas in diese Richtung:

"/" dürfen alle
"/adminlogin" dürfen nur x, y und z

Kann man bestimmt auch so drehen, dass "/adminlogin" für bestimmte Dinge durchgelassen wird und für anderweitige Anfragenden einfach wieder umgeleitet wird, auf die Hauptseite ("/"). Hätte den Vorteil, dass gewisse Dinge erst garnicht am Webserver ankommen.

Alternativ halt die htaccess korrekt gestalten, dazu kann man mal hier schauen:

https://httpd.apache.org/docs/2.4/mod/mod_setenvif.html#setenvif

Das könnte dann z.B. so aussehen:

SetEnvIf X-Forwarded-For "^192\.168\.1\.100" AllowAccess
Allow from env=AllowAccess

EDIT: Mit dem Zirkumflex ("^") bin ich mir grade nicht so sicher, sollte aber theoretisch passen, falls nicht, einfach mal weglassen... Für ein ganzes Netz würdest Du dann einfach die letzte Zahl weglassen (also "^192\.168\.1\.")... glaub ich zumindestens

 

[wario]

Ich hab da mal was vorbereitet:

<?php

foreach (getallheaders() as $name => $value) {
    echo "$name: $value\n <br>";
}

?>

das habe ich als header.php

unter header.howcountry.de/header.php Hinter einem NPM RP am laufen. da siehst du dann genau was hinter dem RP ankommt.
unter header2.howcountry.de/header.php ist dasselbe Script aber ohne RP dazwischen.

wrd ich gleich mal ausprobieren was da ankommt bei mir. Danke dir