Ограничить доступ по DynDNS-домену

[nikivanov]

Здравствуйте!
Админю vds с CentOS 7.3 + VestaCP.
Необходимо ограничить доступ к SSH, PhpMyAdmin, админкам сайтов (wp) и т.п., чтобы доступ был только с моих IP.
Сейчас плачу интернет прову за статик-IP и прописал нужные адреса в правилах фаерволла, в конфиге PhpMyAdmin и в .htaccess для сайтов. Если прописать именно IP, все работает. Если прописать PTR (имя.static.corbina.ru), то почему-то уже не срабатывает, хотя в CentOS6 работало. Ну а мне хотелось бы перестать платить прову по 150 руб/мес за статический IP и натсроить доступ по DynDNS-домену (имя.mykeenetic.ru). Возможно ли это (домен не будет совпадать с PTR)? И почему могут не работать правила для случая, когда прописана PTR?

[one]

Мммм... Тут надо выяснить ограничения по IP выставляются или по хосту.

[nikivanov]

Не очень понял, про какие ограничения речь и у кого выяснить.
Хостер Linode, сервак в Лондоне, выбран вариант чистой установки CentOS 7, потом поставлена VestaCP, фаерволл по умолчанию. Инет пров Пчелайн, подключен статик IP. Меняю в конфигах и правилах фаера доступ только с этого IP - с этого адреса пускает, с другого не пускает. Прописываю вместо IP возвращаемое по nslookup мой_IP имя (блаблабла.static.corbina.ru) - уже не пускает, хотя должен был бы, обратная зона совпадает. Ну а поддомен динамического dns и подавно отвергает.

[skurudo]

Может было бы проще уточнить у Пчелайна пул адресов и добавить их в исключения, чтобы ходить по ним?
(палево как и со статическим адресом, но все же)

[gecube_ru]

Вообще iptables умеет вместо ip работать по fqdn хостов. Но я бы не рекомендовал такой конфиг, т.к. он обновляет внутри себя соответствие fqdn <-> ip при запуске.

При этом при выводе правил файрволла в зависимости от настроек он может писать и IP, и хостнеймы.

[nikivanov]

Может было бы проще уточнить у Пчелайна пул адресов и добавить их в исключения, чтобы ходить по ним?
(палево как и со статическим адресом, но все же)

Я когда-то насобирал пул выдаваемых мне адресов из логов старого кабинета. Но сейчас у Пчелайна свистопляска с айпишниками, где-то ipoe вводят, где-то на nat юзверей сажают, часто стали новые пулы добавляться, утомило все это добавлять во все конфиги. Ну и с конкретным ip оно все-таки секьюрней, чем весь Билайн может брутфорсить пароли к админкам.
Раньше на CentOS6 в .htaccess срабатывала строчка "Allow from broadband.corbina.ru", а после перенастройки сервера на CentOS7 что-то перестала.

[skurudo]

Раньше на CentOS6 в .htaccess срабатывала строчка "Allow from broadband.corbina.ru", а после перенастройки сервера на CentOS7 что-то перестала.

Есть мнение, что дело в версии "индейца", точнее в модуле mod_access_compat

The directives provided by mod_access_compat have been deprecated by mod_authz_host. Mixing old directives like Order, Allow or Deny with new ones like Require is technically possible but discouraged. This module was created to support configurations containing only old directives to facilitate the 2.4 upgrade. Please check the upgrading guide for more information.

Может стоит попробовать использовать Require host вместо Allow?
https://httpd.apache.org/docs/2.4/mod/m ... _host.html