Как заблокировать доступ по IP к весте с помощью директив в файле?

[leonid80]

Скажите, пожалуйста, как заблокировать доступ к весте с помощью директив allow disallow (CentOS, Nginx)?

На одном из форумов нашёл совет что сделать это можно в файле /usr/local/vesta/conf/nginx.conf , но у меня не этого файла, видимо другая версия весты. Зато есть файл /usr/local/vesta/nginx/conf/nginx.conf, я вношу туда изменения, но как сделать так чтобы они вступили в силу не знаю (сам не админ), рестарт nginx не помогает, так как данный файл при этом не читается. Конечно, мне не обязательно вносить изменения именно в этот файл, но хотелось бы ограничить доступ именно с помощью директив в файле, iptables прошу не предлагать.

[Mr.Erbutw]

Здравствуй, не совсем понятен почему именно на папку.
Но можно так на доступ: Вкладка фаервол, показать fail2ban, и заблокировать ip

[leonid80]

Не знал о такой возможности, но боюсь что в моём случае она не поможет. Задача следующая: нужно заблокировать все ip и составить белый список из 2-3 ip с возможностью менять их по необходимости. Ваш вариант наоборот предлагает составить чёрный список. Но если мою задачу можно решить с помощью фаервола весты, то тоже буду признателен за совет как это сделать.

[Alex Connor]

Так создать правило, которое будет пускать по определенным IP, не?

[leonid80]

Я так понимаю что вы предлагаете создать правило для фаервола. К сожалению я не знаю как это сделать (я не админ). Насколько я понял фаервол весты это интерфейс для iptables. Связываться с iptables через консоль у меня желания нет, так как я не работаю с этим регулярно и для меня там не всё так наглядно как хотелось бы. Боюсь сделаю что нибудь не так и потом сам же никуда не зайду. Поэтому и хочу сделать всё через директивы в файле, так как там всё наглядно и в случае необходимости можно просто зайти и отредактировать файлик. Фаервол весты тоже вариант, но к сожалению в доках http://vestacp.com/docs/ я про него ничего не нашёл. Буду признателен если подскажете как его можно использовать в моём случае, но ещё больше буду признателен если кто-то всё же подскажет как это можно будет сделать через директивы в файле.

[Mr.Erbutw]

Я так понимаю что вы предлагаете создать правило для фаервола. К сожалению я не знаю как это сделать (я не админ). Насколько я понял фаервол весты это интерфейс для iptables. Связываться с iptables через консоль у меня желания нет, так как я не работаю с этим регулярно и для меня там не всё так наглядно как хотелось бы. Боюсь сделаю что нибудь не так и потом сам же никуда не зайду. Поэтому и хочу сделать всё через директивы в файле, так как там всё наглядно и в случае необходимости можно просто зайти и отредактировать файлик. Фаервол весты тоже вариант, но к сожалению в доках http://vestacp.com/docs/ я про него ничего не нашёл. Буду признателен если подскажете как его можно использовать в моём случае, но ещё больше буду признателен если кто-то всё же подскажет как это можно будет сделать через директивы в файле.

.htaccess тогда управлять
http://linux-notes.org/zablokirovat-ip-cherez-htaccess/

[leonid80]

.htaccess тогда управлять
http://linux-notes.org/zablokirovat-ip-cherez-htaccess/

К сожалению, не всё так просто. Это первое что я сделал. Но для папки с вестой это не работает, почему сказать не могу (доступ к весте в браузере у меня выглядит так: xxx.xxx.xxx.xx:8083/login/). Такая же проблема была и для папки с phpmyadmin, но для неё я нашёл где всё-таки можно прописать директивы, а для весты пока нет. Можно конечно залезть в код и сделать фильтр на php, но это уж совсем в крайнем случае.

[skurudo]

В случае с phpmyadmin - либо через nginx (/etc/nginx/conf.d/ваш адрес.conf), либо htaccess, либо апач (/etc/apache2/conf.d/phpmyadmin.conf)

В случае с VestaCP, проще через nginx - /usr/local/vesta/nginx/conf/nginx.conf под "location / {"

Code: Select all

 
 allow   192.168.0.1;
 allow   192.168.0.2;
 allow   192.168.0.3;
 deny    all;

[leonid80]

Всем спасибо.
Свою задачу я решил. Подведу итог для тех перед кем встанет похожая задача.
Если также как и я захотите поставить запрет через файлы то следуйте советам skurudo.

Но я в итоге всё сделал через фаервол весты. Там всё очень просто, но к сожалению этого простого описания я нигде не нашёл. Итак если вам нужно заблокировать доступ к Весте/SSH/ FTP, то это можно сделать с помощью двух правил в фаерволе.
- первое правило с действием ACCEPT в нём указываете IP с которого будет разрешён доступ.
- второе правило с действием DROP в поле IP указываете 0.0.0.0/0
ВАЖНО! Правило с действием DROP должно находиться в списке ниже чем правило с действием ACCEPT, иначе рискуете никуда не попасть. Почему так не знаю, за ответом на этот вопрос обращайтесь к тем, кто в отличии от меня хоть что то понимает в администрировании.

[imperio]

1. Добавить разрешающие правила для нужных ip, в первую очередь для вашего ip (если не динамика)
При создании правила указываем порт 8083 и директиву ACCEPT, ну и конечно ip
2. Там же находим стандартное предпоследнее девятое правило с портом 8083 VESTA, редактируем его, выставляя DROP
Всё, доступ только у белых ip