Ограничить доступ по DynDNS-домену
Ограничить доступ по DynDNS-домену
Здравствуйте!
Админю vds с CentOS 7.3 + VestaCP.
Необходимо ограничить доступ к SSH, PhpMyAdmin, админкам сайтов (wp) и т.п., чтобы доступ был только с моих IP.
Сейчас плачу интернет прову за статик-IP и прописал нужные адреса в правилах фаерволла, в конфиге PhpMyAdmin и в .htaccess для сайтов. Если прописать именно IP, все работает. Если прописать PTR (имя.static.corbina.ru), то почему-то уже не срабатывает, хотя в CentOS6 работало. Ну а мне хотелось бы перестать платить прову по 150 руб/мес за статический IP и натсроить доступ по DynDNS-домену (имя.mykeenetic.ru). Возможно ли это (домен не будет совпадать с PTR)? И почему могут не работать правила для случая, когда прописана PTR?
Админю vds с CentOS 7.3 + VestaCP.
Необходимо ограничить доступ к SSH, PhpMyAdmin, админкам сайтов (wp) и т.п., чтобы доступ был только с моих IP.
Сейчас плачу интернет прову за статик-IP и прописал нужные адреса в правилах фаерволла, в конфиге PhpMyAdmin и в .htaccess для сайтов. Если прописать именно IP, все работает. Если прописать PTR (имя.static.corbina.ru), то почему-то уже не срабатывает, хотя в CentOS6 работало. Ну а мне хотелось бы перестать платить прову по 150 руб/мес за статический IP и натсроить доступ по DynDNS-домену (имя.mykeenetic.ru). Возможно ли это (домен не будет совпадать с PTR)? И почему могут не работать правила для случая, когда прописана PTR?
Re: Ограничить доступ по DynDNS-домену
Мммм... Тут надо выяснить ограничения по IP выставляются или по хосту.
Re: Ограничить доступ по DynDNS-домену
Не очень понял, про какие ограничения речь и у кого выяснить.
Хостер Linode, сервак в Лондоне, выбран вариант чистой установки CentOS 7, потом поставлена VestaCP, фаерволл по умолчанию. Инет пров Пчелайн, подключен статик IP. Меняю в конфигах и правилах фаера доступ только с этого IP - с этого адреса пускает, с другого не пускает. Прописываю вместо IP возвращаемое по nslookup мой_IP имя (блаблабла.static.corbina.ru) - уже не пускает, хотя должен был бы, обратная зона совпадает. Ну а поддомен динамического dns и подавно отвергает.
Хостер Linode, сервак в Лондоне, выбран вариант чистой установки CentOS 7, потом поставлена VestaCP, фаерволл по умолчанию. Инет пров Пчелайн, подключен статик IP. Меняю в конфигах и правилах фаера доступ только с этого IP - с этого адреса пускает, с другого не пускает. Прописываю вместо IP возвращаемое по nslookup мой_IP имя (блаблабла.static.corbina.ru) - уже не пускает, хотя должен был бы, обратная зона совпадает. Ну а поддомен динамического dns и подавно отвергает.
Re: Ограничить доступ по DynDNS-домену
Может было бы проще уточнить у Пчелайна пул адресов и добавить их в исключения, чтобы ходить по ним?
(палево как и со статическим адресом, но все же)
(палево как и со статическим адресом, но все же)
Re: Ограничить доступ по DynDNS-домену
Вообще iptables умеет вместо ip работать по fqdn хостов. Но я бы не рекомендовал такой конфиг, т.к. он обновляет внутри себя соответствие fqdn <-> ip при запуске.
При этом при выводе правил файрволла в зависимости от настроек он может писать и IP, и хостнеймы.
При этом при выводе правил файрволла в зависимости от настроек он может писать и IP, и хостнеймы.
Re: Ограничить доступ по DynDNS-домену
Я когда-то насобирал пул выдаваемых мне адресов из логов старого кабинета. Но сейчас у Пчелайна свистопляска с айпишниками, где-то ipoe вводят, где-то на nat юзверей сажают, часто стали новые пулы добавляться, утомило все это добавлять во все конфиги. Ну и с конкретным ip оно все-таки секьюрней, чем весь Билайн может брутфорсить пароли к админкам.skurudo wrote:Может было бы проще уточнить у Пчелайна пул адресов и добавить их в исключения, чтобы ходить по ним?
(палево как и со статическим адресом, но все же)
Раньше на CentOS6 в .htaccess срабатывала строчка "Allow from broadband.corbina.ru", а после перенастройки сервера на CentOS7 что-то перестала.
Re: Ограничить доступ по DynDNS-домену
Есть мнение, что дело в версии "индейца", точнее в модуле mod_access_compatnikivanov wrote:Раньше на CentOS6 в .htaccess срабатывала строчка "Allow from broadband.corbina.ru", а после перенастройки сервера на CentOS7 что-то перестала.
Может стоит попробовать использовать Require host вместо Allow?The directives provided by mod_access_compat have been deprecated by mod_authz_host. Mixing old directives like Order, Allow or Deny with new ones like Require is technically possible but discouraged. This module was created to support configurations containing only old directives to facilitate the 2.4 upgrade. Please check the upgrading guide for more information.
https://httpd.apache.org/docs/2.4/mod/m ... _host.html