CGI RESCUE チャレンジＣＧＩ - ホスト名でアクセス制限

通常はホームページには誰でもアクセスできますが、アクセス制限をすることによって、

パスワード登録されたユーザをパスワードで規制する
ホスト名で拒否/許可する

ようにできます。誰かがホームページを見に来たら、サーバは、そのホームページのファイルがあるディレクトリに「.htaccess」という名前のファイル（以下、設定ファイル）があるかどうかを調べます。無ければ、そのままそのホームページのファイルを取り出（表示）します。設定ファイルがあれば、サーバはその中身を検討します。その中身にアクセス制限をする記述をすればいいわけです。

基礎知識

これらはサーバソフトであるApache(またはNCSA)で可能な設定です。 ただし、ユーザが自分で設定できないようにプロバイダ管理者側で規制している場合はこの限りではありません。

サーバから得られるアクセス者のリモートホスト名が制限のための判断材料にされます。それはホスト名(ドメイン名)でもＩＰアドレスでも構いませんが、サーバから得られるそのデータがＩＰアドレスだけだと、設定内にホスト名を記述しても判断されず、制限されません。例えばＡＳＫネットでは現在(98/7/18)、サーバ負荷軽減のためにホスト名を直接出力していません。ですから、

#!/usr/local/bin/perl
print "Content-type: text/html\n\n";
print "<body>$ENV{'REMOTE_HOST'}</body>";
exit;

でホスト名を表示させようとしてもＩＰアドレスしか出てきません。よって、このような設定のサーバではＩＰアドレスを指定しての制限しかできません。逆に、ホスト名がちゃんと表示されるサーバであれば、ホスト名でもＩＰアドレスでも設定できます。あなたのご利用サーバはどうなのか、この設定を行う前にこのＣＧＩスクリプトを実行して確認しておきましょう。

多くのＩＳＰでは、ダイヤルアップ時に自動的にＩＰアドレスをそのユーザに割り当てます。従って、そのＩＳＰのユーザであるかどうかは、フルＩＰアドレスでは判断できません。例えばＡＳＫネットにダイヤルアップする毎に、203.179.104.147 だったり 203.179.104.59 だったりという感じで、第４番目の数字が自動割り当てで変化してしまいます。このＩＰの構造原理はちょっと難しいので私もよく調べていませんが、 203.179.104 までを設定することで、ＡＳＫのダイヤルアップユーザであることを判別して制限をかけることができるでしょう。同様に、203.179 まででも 203 だけでも、そのＩＰに合致してしまえばその通りに制限されます。

さて、ホスト名を出力してくれる(上記ＣＧＩスクリプトでホスト名が表示される場合)サーバであっても、ＩＰアドレスが自動割り当てされるということは、それに対応するホスト名も変化します。ＩＰの場合は左側から固定されて右側が変化していましたが、ホスト名の場合は逆です。例えばＡＳＫの場合(昔ホスト名を出力していた頃では)、utp123.ask.or.jp とか tko39.ask.or.jp など、ＩＳＰ独自の名前の付け方で左側から変化します。この場合にＡＳＫのユーザを制限する場合は、 .ask.or.jp にします。ＩＰでの設定の場合は端にピリオドを入れていませんが、マニュアルでは ask.or.jp ではなく、.ask.or.jp になっています。ピリオドに重要な意味があるかどうかはわかりませんが、マニュアル通りにしておけばいいでしょう。ＩＰと同様に、.or.jp とか .jp にすればその通りに制限されます。

次に設定時の重要事項です。制限には主に「一部のホスト(IP)を制限する」と「一部のホスト(IP)だけに許可する」があります。後者はプロバイダのユーザ向けの情報をホームページ上で公開する場合に、そのプロバイダからのダイヤルアップから接続した人でないと表示できないページによく使われます。その他に、Apacheの上位バージョンではブラウザ名で制限する等もできますが、その辺は直接Module mod_accessマニュアルを参照してください。

どちらの制限でもお互いに関係があります。一部のホストを制限する場合は、それ以外は許可することになります。これをどうやって表現するかという問題です。後述する実際の設定の中に、order という項目があります。その設定でそれを表現します。

まず、一部のホストを制限する場合は、まず全てを許可し、その後に設定した一部のホストを制限する処理をします。その手順で処理させるには、

deny,allow → deny(制限)処理がallow(許可)処理の前に評価(処理)される. (主に一部許可の場合に使う)
allow,deny → allow(許可)処理がdeny(制限)処理の前に評価(処理)される. (主に一部制限の場合に使う)

よって、これが逆になってしまうと意図するように動作しません。例えば、.ask.or.jpを制限する場合に deny,allow を設定した場合、先に .ask.or.jp を制限し、その後にすべてを許可してしまうと、結局全て許可になってしまいます。

以上の構造を十分理解して実際に設定します。

一部のホスト(IP)を制限する

この場合、まず全てを許可してから制限したいホスト名を制限するようにします。

ＡＳＫネットユーザを制限する場合の .htaccess の例(ホスト名で)

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthType Basic
<Limit GET POST PUT>
order allow,deny
allow from all
deny from .ask.or.jp
</Limit>

ＡＳＫネットユーザを制限する場合の .htaccess の例(ＩＰで)

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthType Basic
<Limit GET POST PUT>
order allow,deny
allow from all
deny from 203.179.104
</Limit>

ＡＳＫネットとＸＸＸのユーザを制限する場合の .htaccess の例

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthType Basic
<Limit GET POST PUT>
order allow,deny
allow from all
deny from .ask.or.jp .xxx.or.jp
</Limit>

一部のホスト(IP)だけに許可する

この場合、まず全てを制限してから許可したいホスト名を許可するようにします。上記の逆になるだけです。

ＡＳＫネットユーザだけを許可する場合の .htaccess の例(ホスト名で)

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthType Basic
<Limit GET POST PUT>
order deny,allow
deny from all
allow from .ask.or.jp 203.179.104
</Limit>

(参考)

deny from ... と allow from ... の順番は関係ありません。

パスワード登録されたユーザをパスワードで規制すると組み合わせて、さらに絞り込むことも可能です。(試していませんが多分・・・)

AuthUserFile /path/to/password/file
AuthGroupFile /dev/null
AuthType Basic
<Limit GET POST PUT>
order deny,allow
deny from all
allow from .ask.or.jp 203.179.104
require valid-user
</Limit>