Почему в журналах доступа Apache отображаются запросы GET с IP-адреса моего маршрутизатора?

Question

В феврале я установил домашний веб-сервер на Raspberry Pi, работающем под управлением Arch Linux и Apache. Я включил переадресацию портов на моем маршрутизаторе, и сервер работал как положено. Я получаю стандартные попытки доступа к phpmyadmin с IP-адресов, которые восходят к Китаю, но до 22 апреля, когда я начал получать такие сообщения, не было ничего необычного:

$ grep '192.168.0.1' 'access_log.1'
192.168.0.1 - - [22/Apr/ 2013:07:33:29 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [22/Apr/ 2013:11:33:12 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [22/Apr/ 2013:15:33:13 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [22/Apr/ 2013:20:14:03 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [23 /Apr/ 2013:06:40:03 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [23 /Apr/ 2013:08:52:22 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [23 /Apr/ 2013:10:14:51 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [23 /Apr/ 2013:10:18:49 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [23 /Apr/ 2013:10:38:12 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [23 /Apr/ 2013:14:38:11 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [23 /Apr/ 2013:18:38:11 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [24 /Apr/ 2013:07:00:44 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [24 / апр / 2013:11:00:42 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [24 /Apr/ 2013:12:25:52 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [24 /Apr/ 2013:16:25:48 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [25 /Apr/ 2013:06:47:46 +0100] "GET / HTTP / 1.1" 200 264
192.168.0.1 - - [25 /Apr/ 2013:10:47:30 +0100] "GET / HTTP / 1.1" 200 264

Маршрутизатор - это бренд Sagecom Sky Broadband с фирменной прошивкой; удаленное управление отключено, и пароль администратора был изменен несколько месяцев назад на 20-символьную строку, которую знает только мой менеджер паролей. Нет соответствующего шаблона между журналами маршрутизатора и журналами сервера. 22-го числа не было никаких изменений в сервере или моей сети, которые я помню. Эти записи появляются пять или шесть раз в день с тех пор.

Об этом стоит беспокоиться? Есть ли способ остановить эти запросы? Наличие черного списка Apache для IP-адреса маршрутизатора может вызвать проблемы.

Благодарю.

Answer 1

Эти запросы не сразу вызывают беспокойство. Если кому-либо разрешен доступ к вашему общедоступному веб-серверу, то, безусловно, это машины в вашей локальной сети, особенно устройства, через которые в большинстве случаев проходит трафик. Если ваш роутер не заслуживает доверия, вы полностью в конце. Я не вижу никаких признаков проблемы безопасности в частичном журнале, который вы разместили.

Хотя часто можно запустить реальный браузер на маршрутизаторе, я считаю, что наиболее частой причиной появления внутреннего IP-адреса маршрутизатора в качестве адресов источника в журналах доступа является шпилька NAT. Если машина в вашей локальной сети попытается подключиться к вашему веб-серверу по внешнему IP-адресу (или доменному имени, которое разрешается до одного), соединение не будет установлено, потому что клиент не ожидает получения ответа от IP-адреса локальной сети сервера. То есть, если маршрутизатор не поддерживает функцию шпильки NAT и перезаписывает заголовки пакетов, заменяя их исходные IP-адреса своими собственными. На сервере это выглядит так, как если бы запросы исходили от маршрутизатора.

Вполне возможно, что «что-то» в вашей локальной сети опрашивает веб-сервер, используя ваш внешний IP-адрес. Добавление 192.168.0.1 в черный список Apache «работает», если вы хотите отключить эту функцию. Сервер по-прежнему будет доступен снаружи. Тем не менее, игнорировать эти записи в журнале практически невозможно.