Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » apache - ограничение доступа в пределах локалки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Kurt

 
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Задача ограничить доступ к апачу приделами локальной сети.
 
Как я понимаю для этого в конфегие apcha есть деректиав BindAddress
 
я ставлю
BindAddress 124.0.0.*
(все ip адрес в локалке в соответсвущем диапазоне)
но это дело не пашет. Что не так пишу?

----------
http://uid.me/kurt

Всего записей: 3821 | Зарегистр. 30-06-2001 | Отправлено: 21:54 12-03-2003 | Исправлено: lynx, 15:33 13-03-2003
Crash Master



Windows Master
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kurt
Похоже на то что ты немного ошибся...
BindAddress это адрес, на котором апач слушает.
То есть если в серваке несколько сетевых карт, то по дефолту он слушает на всех, а этой фичей ты можешь ограничить прослушивание одной картой.

----------
Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал...

Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 22:03 12-03-2003
Kurt

 
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Crash Master
Ой, ну может напутал, сорьки.  
Но вопрос остается. Как сделать что бы доступ к серверу был только из локальной сети. И больше никого не пущало.

----------
http://uid.me/kurt

Всего записей: 3821 | Зарегистр. 30-06-2001 | Отправлено: 22:24 12-03-2003
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вроде вот такое должно сработать. В .htaccess или в httpd.conf, в директиве <directory>
Order                deny,allow
Deny                 from all
Allow                from 192.168.1.0/24
(понятное дело, что в локалке юзают по RFC данные IP)

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 23:35 12-03-2003 | Исправлено: Cheery, 04:39 13-03-2003
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cheery
 

Цитата:
<directory>  
Order                deny,allow  
Deny                 from all  
Allow                from 192.168.1.0/24  

 
Ага, только все наоборот - сначала дени, а потом - аллоу
 
Order allow,deny
Deny from all  
Allow  from ....

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 14:33 13-03-2003
Kurt

 
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А на сколько это решит проблемму доступа из вне? На 100% или так, от части?
 
И еще, так понимаю в allow мне свои ip указыать. Или именно так как привидено?
 


----------
http://uid.me/kurt

Всего записей: 3821 | Зарегистр. 30-06-2001 | Отправлено: 15:05 13-03-2003 | Исправлено: Kurt, 15:20 13-03-2003
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kurt
 
 На 100 %
 
Указывать свои IP.  
 
Указывать либо так:
 
Allow  from 192.168.1.1
Allow  from 192.168.1.2
Allow  from 192.168.1.3
 
Либо напиши мне в пм, с каких адресов надо разрешить - я тебе напишу как писать короче.

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 15:36 13-03-2003
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ага, только все наоборот - сначала дени, а потом - аллоу  

необязательно, можно и так, как я написал:
http://httpd.apache.org/docs-2.0/mod/mod_access.html#order
 
Там же и..

Цитата:
A (partial) domain-name  
Example:
Allow from apache.org  
 
Hosts whose names match, or end in, this string are allowed access. Only complete components are matched, so the above example will match foo.apache.org but it will not match fooapache.org. This configuration will cause the server to perform a reverse DNS lookup on the client IP address, regardless of the setting of the HostnameLookups directive.
 
A full IP address  
Example:
Allow from 10.1.2.3  
 
An IP address of a host allowed access
 
A partial IP address  
Example:
Allow from 10.1  
 
The first 1 to 3 bytes of an IP address, for subnet restriction.
 
A network/netmask pair  
Example:
Allow from 10.1.0.0/255.255.0.0  
 
A network a.b.c.d, and a netmask w.x.y.z. For more fine-grained subnet restriction.
 
A network/nnn CIDR specification  
Example:
Allow from 10.1.0.0/16  
 
Similar to the previous case, except the netmask consists of nnn high-order 1 bits.
 
Note that the last three examples above match exactly the same set of hosts.
 
IPv6 addresses and IPv6 subnets can be specified as shown below:
Allow from fe80::a00:20ff:fea7:ccea
Allow from fe80::a00:20ff:fea7:ccea/10  
 


----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 07:48 15-03-2003
JcVai



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Kurt
Так же надо учесть, чтобы те, кто заходит в локалку с и-нета
виделись под своими адресами, а не под IP локального прокси...

Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 11:58 15-03-2003
Kurt

 
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
JcVai
А вот это действительно важный вопрос. Как подобное-то организвать? Все через проксю

----------
http://uid.me/kurt

Всего записей: 3821 | Зарегистр. 30-06-2001 | Отправлено: 13:56 15-03-2003
polux



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Kurt
 

Цитата:
А вот это действительно важный вопрос. Как подобное-то организвать? Все через проксю  

 
надо указать в настройках прокси-сервера, что при форварде в заголовок пакета включать ip клиента, но насолько я знаю такую функцию поддерживают только http, https прокси.
 
а что мешает разрешить вашему прокси-серверу доступ к этой директории? конечно при условии, что только ваша контора его использует.

Всего записей: 158 | Зарегистр. 23-02-2003 | Отправлено: 16:43 15-03-2003
kentaur



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если предполагается вообще никого не пускать извне на вебсервер, то лучше вообще firewall'ом закрыть порт, на котором апач висит.

Всего записей: 78 | Зарегистр. 05-02-2003 | Отправлено: 21:18 15-03-2003
Gumanoid



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ой как у вас тут сложно все.
я бы сделал по другому.
кильнул бы майн серв  
и создал виртуальный хост  
<VirtualHost 192.168.3.1>
  ServerName 192.168.3.1
  DocumentRoot "C:/SERV/
</VirtualHost>
не одна падла из инета не откроет 192.168.3.1
 айпи компа с апачем локальной сети, но не 127.0.0.* ес-но

----------
Возмем план и в космос...
Сайт IRC-канала #muravlenko IRC.Muravlenko.ru:6667

Всего записей: 1664 | Зарегистр. 17-01-2002 | Отправлено: 23:13 17-03-2003
Kurt

 
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Gumanoid
А точно не откроет? Сейчас у меня как, по ip адресу вызываеют сервер. Но при этом если у машины и статический адрес в сети, как я понимаю вызвать можно и из интернета по статичекому адресу.

----------
http://uid.me/kurt

Всего записей: 3821 | Зарегистр. 30-06-2001 | Отправлено: 23:25 17-03-2003
Gumanoid



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Kurt
НУ вот давай вместе подумаем
имеем машину с айпи в локальной сети напр. 192.168.3.1 - это айпи из инета недоступно!?
 
создаём виртуальный хост и обзываем его "ServerName 192.168.3.1"  
тоесть Апачь выдаст этот хост только если в браузере написано 192.168.3.1  
а такой адрес может быть написан только если ты в локальной сети...
 
надеюсь понятен ход моих мыслей, просто возможно я немного непонятно объясняю просто дело уже под утро а я так и не ложился еще спать.
поправьте меня если что не так .
 
Добавлено
Kurt
не забывай речь идет именно про виртуальный хост
майн сервер у тебя остался рабочим ... и Апачь будет его выдовать при запросе.


----------
Возмем план и в космос...
Сайт IRC-канала #muravlenko IRC.Muravlenko.ru:6667

Всего записей: 1664 | Зарегистр. 17-01-2002 | Отправлено: 00:23 18-03-2003
Kurt

 
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Gumanoid
Ну вот. Я об этом и говорю все-равно сервер. Не конкретный хост, но север будет доступен из сети. И грубо говоря, останется какая-то уязвимость.


----------
http://uid.me/kurt

Всего записей: 3821 | Зарегистр. 30-06-2001 | Отправлено: 00:51 18-03-2003
Gumanoid



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Kurt
а если попробовать закоментировать #---> Main server parameters <---#
оставив только вертуальные хосты ...?

----------
Возмем план и в космос...
Сайт IRC-канала #muravlenko IRC.Muravlenko.ru:6667

Всего записей: 1664 | Зарегистр. 17-01-2002 | Отправлено: 01:09 18-03-2003
matveichex

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!
  Коротко: необходимо сделать следующее: ограничить доступ к определенной директории сайта так, чтобы пользователи локальной сети (находятся в четко определенном диапазоне ip адресов) могли получать доступ к этой директории без ввода логина и пароля (т.е. доступ по ip), а пользователи ходящие на сайт с других ip должны были вводить логин и пароль.
  На данный момент: доступ обеспечен с помощью файла htaccess и пускает лишь пользователей локальной сети.
Как в htaccess сделать по отдельности авторизацию по ip или логину с паролем - знаю, а как совместить подобным образом (пусть даже не в htaccess) - без понятия!
  Уверен, что кто нибудь да сталкивался с подобной проблемой, однако поиск в инете к сожалению результатов не дал (не исключаю что не то искал). Заранее спасибо!

Всего записей: 2 | Зарегистр. 24-03-2010 | Отправлено: 07:44 25-03-2010
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » apache - ограничение доступа в пределах локалки


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru