Apacheのアクセス制限設定の基本ではあるが、なんだか考え出すとわかんなくなっちゃう人が多い。自分もそうだったので整理。
というパターンが割と一般的だが、これは
と書く場合もある。(Apacheのデフォルトは deny, allow みたいなのでこっちが普通?)
この2つが同じだよって言われると、「え?なんで?」って事なってくる。
誤解ポイントは2つ
例えば、一番失敗しそうな勘違いは、
これだと、xxxxx が、Denyで弾かれて、その他は、Allow from all で許可されるような印象を持つけど、実際は、こんな記述をしたらオール通し!になってしまう。
これでダメなら、次のはどうか!ってやってみる人もいるかもしれない。
Allow from all で全許可しておいて、後ろのDenyで、xxxxx だけ拒否! しかし、残念ながら、Order の事忘れちゃってますよね。記述上 Deny をAllowの前に書こうが、後ろに書こうが関係ないわけです。
これらがうまくいかない理由は次の通り
つまり上の間違い例だと、 最初に deny を評価するので、 xxxxx が一旦 deny になり、それ以外は、allow になる。この allow になったものは、それ以上チェックされないので、許可。 deny になったものは、更に Allow リストでチェックされるのだが、Allow from all なので、結局 allow になってしまう。で、xxxxx も許可。 ということになってしまうわけです。
from all という記述がよく見られるのは、「とりあえず全部許可」とか「とりあえず全部拒否」みたいな意思を明確にする意図があって、フィルタ設定では、そういう明示的な設定が推奨されるからだと思いますが、Apache の Order 設定だと、処理的には、「とりあえず全部許可、だけど、やっぱ xxxxx はダメ」みたいな感じで、処理的にはややこしくなってしまう。日本はOKだけと、北海道はダメみたいな設定をしたい場合には必須の設定なんだけど、私的には、from all を使うより、Order をヒックリ返して Deny だけ書くとか Allow だけ書く方がわかりやすいような気もします。
正しくはありませんが、とりあえず、「Order deny, allow」を、「deny でなければ、allow(なのでDenyだけ書けば良い)」と読んでしまうのも手かもしれませんね。