Page 1 of 1
Ограничить доступ по DynDNS-домену
Posted: Thu Jun 01, 2017 6:47 am
by nikivanov
Здравствуйте!
Админю vds с CentOS 7.3 + VestaCP.
Необходимо ограничить доступ к SSH, PhpMyAdmin, админкам сайтов (wp) и т.п., чтобы доступ был только с моих IP.
Сейчас плачу интернет прову за статик-IP и прописал нужные адреса в правилах фаерволла, в конфиге PhpMyAdmin и в .htaccess для сайтов. Если прописать именно IP, все работает. Если прописать PTR (имя.static.corbina.ru), то почему-то уже не срабатывает, хотя в CentOS6 работало. Ну а мне хотелось бы перестать платить прову по 150 руб/мес за статический IP и натсроить доступ по DynDNS-домену (имя.mykeenetic.ru). Возможно ли это (домен не будет совпадать с PTR)? И почему могут не работать правила для случая, когда прописана PTR?
Re: Ограничить доступ по DynDNS-домену
Posted: Wed Jun 07, 2017 6:32 pm
by one
Мммм... Тут надо выяснить ограничения по IP выставляются или по хосту.
Re: Ограничить доступ по DynDNS-домену
Posted: Fri Jun 09, 2017 11:17 am
by nikivanov
Не очень понял, про какие ограничения речь и у кого выяснить.
Хостер Linode, сервак в Лондоне, выбран вариант чистой установки CentOS 7, потом поставлена VestaCP, фаерволл по умолчанию. Инет пров Пчелайн, подключен статик IP. Меняю в конфигах и правилах фаера доступ только с этого IP - с этого адреса пускает, с другого не пускает. Прописываю вместо IP возвращаемое по nslookup мой_IP имя (блаблабла.static.corbina.ru) - уже не пускает, хотя должен был бы, обратная зона совпадает. Ну а поддомен динамического dns и подавно отвергает.
Re: Ограничить доступ по DynDNS-домену
Posted: Tue Jul 25, 2017 10:45 am
by skurudo
Может было бы проще уточнить у Пчелайна пул адресов и добавить их в исключения, чтобы ходить по ним?
(палево как и со статическим адресом, но все же)
Re: Ограничить доступ по DynDNS-домену
Posted: Fri Jul 28, 2017 9:46 am
by gecube_ru
Вообще iptables умеет вместо ip работать по fqdn хостов. Но я бы не рекомендовал такой конфиг, т.к. он обновляет внутри себя соответствие fqdn <-> ip при запуске.
При этом при выводе правил файрволла в зависимости от настроек он может писать и IP, и хостнеймы.
Re: Ограничить доступ по DynDNS-домену
Posted: Fri Aug 11, 2017 6:38 pm
by nikivanov
skurudo wrote:Может было бы проще уточнить у Пчелайна пул адресов и добавить их в исключения, чтобы ходить по ним?
(палево как и со статическим адресом, но все же)
Я когда-то насобирал пул выдаваемых мне адресов из логов старого кабинета. Но сейчас у Пчелайна свистопляска с айпишниками, где-то ipoe вводят, где-то на nat юзверей сажают, часто стали новые пулы добавляться, утомило все это добавлять во все конфиги. Ну и с конкретным ip оно все-таки секьюрней, чем весь Билайн может брутфорсить пароли к админкам.
Раньше на CentOS6 в .htaccess срабатывала строчка "Allow from broadband.corbina.ru", а после перенастройки сервера на CentOS7 что-то перестала.
Re: Ограничить доступ по DynDNS-домену
Posted: Tue Aug 29, 2017 8:30 am
by skurudo
nikivanov wrote:Раньше на CentOS6 в .htaccess срабатывала строчка "Allow from broadband.corbina.ru", а после перенастройки сервера на CentOS7 что-то перестала.
Есть мнение, что дело в версии "индейца", точнее в модуле mod_access_compat
The directives provided by mod_access_compat have been deprecated by mod_authz_host. Mixing old directives like Order, Allow or Deny with new ones like Require is technically possible but discouraged. This module was created to support configurations containing only old directives to facilitate the 2.4 upgrade. Please check the upgrading guide for more information.
Может стоит попробовать использовать Require host вместо Allow?
https://httpd.apache.org/docs/2.4/mod/m ... _host.html