IP en 192.168.xxx.xxx dans des logs (192.168.248.1 et 192.168.244.1)

[ddavid]

Bonjour,

Je remarque que j'ai des adresses IPs locales dans certains logs ces temps-ci.

Je ne sais pas si ça a quelque chose à voir avec ces anciens threads [1][2][3].

Ça ne concerne pas tous mes domaines, seulement certains.

Code:

(Seuls les domaines ont été remplacés, et un seul FQDN semble concerné par les lignes que j'ai vu)

192.168.248.1 www.domaine1.example.com - [21/Apr/2012:11:31:13 +0200] "GET / HTTP/1.0" 400 8372 "-" "-"

192.168.244.1 www.domaine1.example.com - [23/Apr/2012:05:53:07 +0200] "GET / HTTP/1.0" 400 8323 "-" "-"

192.168.244.1 www.domaine1.example.com - [25/Apr/2012:03:20:47 +0200] "GET / HTTP/1.0" 400 8650 "-" "-"

192.168.244.1 www.domaine1.example.com - [27/Apr/2012:01:02:39 +0200] "GET / HTTP/1.0" 400 8632 "-" "-"

192.168.248.1 www.domaine1.example.com - [28/Apr/2012:13:24:39 +0200] "GET / HTTP/1.0" 400 8598 "-" "-"

Quelqu'un a eu récemment ce problème ?

[Guillaume.S]

Bonjour,

ddavid, tu serais me dire sur quel cluster pointent tes domaines ?

Cordialement,

[ddavid]

Bonjour Guillaume,

Tout est sur "cluster003", aussi bien mes domaines sans soucis que le domaine concerné par le problème.

Souhaites-tu que je t'envoie en message privé le FQDN des lignes de logs concernées ?

[Guillaume.S]

Bonjour,

Oui, je veux bien les infos, si tu as les logs complets.
(Les logs ci-dessus sont à titres d'exemples, où les dates/requêtes sont correctes ?)

Cordialement,

[ddavid]

Bonjour,

Pour les logs ci-dessus, seul le nom de domaine est masqué, tout le reste est correct.

Je t'envoie le nom de domaine en message privé.

Cordialement,

[ddavid]

(Détails envoyés par email)

[Araucan]

Bonjour,

J'ai le type de problème avec l'adresse 192.168.248.* ou 192.168.244.*
Le message type est le suivant
[Sat Jun 02 14:32:18 2012] [error] [client 192.168.244.1] ModSecurity: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache2/conf/modsecurity/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "46"] [id "960015"] [rev "2.1.1"] [msg "Request Missing an Accept Header"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [hostname "www.mondomaine.fr"] [uri "/"] [unique_id "T8oH0goAm3MAAApAM0QAAAAG"].

La modération me dit que cela vient du pare-feu OVH et cela semble cohérent sans toutefois proposer de solution pour éliminer ces messages d'erreur qui sont très nombreux.

Auriez-vous une solution ?

[Stefc13]

"Auriez-vous une solution ? "

Étant donné que nous n'avons pas accès à la config d'apache et que la gestion des règles de mod_security ne fonctionne pas avec le .htaccess,

Non,
il n'y a pas de solution à moins de désactiver le Pare feu.
Entre autre, mod_security bloque les requêtes http du W3C si tu valides tes codes html...

prudence...

[Araucan]

@Stefc13,

Merci.

Là je ne comprends pas, désolé "Entre autre, mod_security bloque les requêtes http du W3C si tu valides tes codes html...

prudence... "

Le pare feu est-il à utiliser avec précaution ?

[ekozan]

le par-feux est à désactiver sauf cas exceptionnel
il fout le bordel chez google aussi c'est pas une bonne idée de l'activer