A las capas OSI no les importa dónde se realiza la comprobación, pero en qué capa reside la información utilizada en la comprobación. Si la verificación se realiza en la lista blanca solo por la dirección IP, no importa dónde esté configurada la verificación, porque la decisión siempre se basa exclusivamente en la dirección IP, es decir, la capa 3 de OSI.
Pero, dependiendo de la configuración y el código de validación, la verificación podría no probar con la IP de origen real del cliente, sino con una IP de origen reclamada. Este sería el caso si la verificación se hiciera contra la dirección IP desde X-Forwarded-For
o un encabezado HTTP similar en la solicitud. Dichas comprobaciones podrían realizarse en PHP y, probablemente, .htaccess y esto sería una verificación basada en la información a nivel de la aplicación, es decir, la capa 7 de OSI.
¿Y se puede pasar por alto uno o todos estos métodos con algún tipo de suplantación de IP?
Obviamente, la omisión de las verificaciones basadas en la información de la capa 3 (dirección IP) solo se puede realizar si se puede falsificar la información de la capa 3. Si bien el uso de una IP falsa con UDP se puede hacer fácilmente, usar una dirección IP falsificada con TCP es casi imposible debido al protocolo de enlace de 3 vías, los números de secuencia, etc. Consulte también ¿Es posible pasar el protocolo TCP con una dirección IP falsificada?
La información de la capa 7 de suplantación de identidad (X-Forwarder-For) se puede realizar fácilmente con un cliente personalizado.