Помогите разрешить следующую проблему: как ограничить доступ к ресурсу только пользователями домолинка, причем ГЛАВНОЕ теми пользователями, которые не используют прокси, а всех юзеров с прокси блокировать ??? Проблема гораздо серьезнее, чем кажется на первый взгляд ...
Коварный план 23:11 22.03.2008
Через фаервол или конфиг апача. Какие проблемы?
DEVASTATOR666 23:31 22.03.2008
Создавай .htaccess и там прописывай, либо через фаервол закрывай доступ
Mister_Iks 23:33 22.03.2008
Блокируй все ИПЫ, которые не попадают в локальный диапазон домолинка. Проксю тоже блокируй, а то мало-ли.. Вдруг зайдут через оную, чтобы не повадно было..... Тем более траф на нее платен, хоть она и в диапазоне домолинка.
Pengvin 23:50 22.03.2008
можно вот так
iptables -A INPUT -p all -s 77.45.128.0/255.255.128.0 -j ACCEPT
iptables -A INPUT -p all -s 80.82.32.0/255.255.224.0 -j ACCEPT
iptables -A INPUT -p all -s 88.83.192.0/255.255.224.0 -j ACCEPT
iptables -A INPUT -p all -s 80.82.32.27/32 -j REJECT
iptables -A INPUT -p all -j REJECT
iptables -A OUTPUT -p all -j REJECT
Alex Xaker 02:02 23.03.2008
Я же сказал, что всё намного серьёзнее, и никакие .htaccess не помогают ... Когда чел юзает прокси ему выдаётся IP, входящий в список локальных, но при этом трафик идёт (!!!) как за внешний ... Вот насчёт поста Pengvin не знаю: пожалуйста, объясните что это и куда это прописать ... А еще лучше стукните в аську (404-034-481) ... Что касается фаервола - дайте точные данные, что и как прописать для блокировки ... И НЕ НУЖНО ЗДЕСЬ ДЕЛИТЬСЯ ВПЕЧАТЛЕНИЯМИ - ДАЙТЕ КОНКРЕТНЫЕ ФРАГМЕНТЫ ФАЙЛОВ ИЛИ НАСТРОЕК !!!
dimedrol 02:06 23.03.2008
Сообщение от :
Я же сказал, что всё намного серьёзнее, и никакие .htaccess не помогают ... Когда чел юзает прокси ему выдаётся IP, входящий в список локальных, но при этом трафик идёт (!!!) как за внешний
так траф с локальных ip не должен учитываться независимо ip прокси или нет
[Ариец] 02:10 23.03.2008
Alex Xaker, хакер из тебя никудышный... Наверное торрент делаешь? Респект тебе Нам их нехватает.
Сообщение от Alex Xaker:
Когда чел юзает прокси ему выдаётся IP, входящий в список локальных, но при этом трафик идёт (!!!) как за внешний
это вам точно известно или это ваши домыслы? интернет трафик считается только для того кто использует прокси, потому что он обращается к 80.82.32.27, если айпишник выдается из диапазона локальных, то вы будете грубо говоря отправлять пакеты на локальный айпишник. С другой стороны ВСИ могли расширить диапазон для прокси сервера, но на официальном сайте это не отражено. Вобщем попробуйте поставить 4ое правило сверху в пакетнике и попросите кого-нибудь из друзей через прокси сервер зайти на ваш сайт, при этом его IP не должен быть 80.82.32.27. Если его не пустит значит это интернет трафик.
Сообщение от Alex Xaker:
Помогите разрешить следующую проблему: как ограничить доступ к ресурсу только пользователями домолинка, причем ГЛАВНОЕ теми пользователями, которые не используют прокси, а всех юзеров с прокси блокировать ??? Проблема гораздо серьезнее, чем кажется на первый взгляд ...
Какой ты нах хакер, если для тебя элементарная настройка фаерволла кажется серьезной проблемой?
Весь трафик с прокси блокируется правилом iptables -A INPUT -p TCP -s 80.82.32.0/24 --dport 80 -j DROP
GoR2 12:13 23.03.2008
80.82.32.0/24
ага давай забаним торренты, DNS и тд
Ганзурик 12:28 23.03.2008
GoR2, кури маны по iptables Блокируются только соединения на 80-й порт, а не все пакеты с этих адресов! А обычные юзеры на том диапозоне не сидят.
Хоть платным и является только .27, ничего страшного не произойдет, если всех с прокси блокировать. Вдруг человек по ошибке через прокси зашел.
Pengvin 12:30 23.03.2008
Сообщение от GoR2:
80.82.32.0/24
ага давай забаним торренты, DNS и тд
а днски по UDР по умолчанию вроде как работают, а в выше указанном правиле блокируется только tcp трафик
Ганзурик 12:34 23.03.2008
Pengvin, Опция "--dport 80" обозначает, что блокируются только пакеты, входящие на 80-й порт, а остальное нас не волнует. Мы же не хотим сами себе отрубать доступ к прокси?
Ono 12:56 23.03.2008
жесть =)))))
Part!zan 13:41 23.03.2008
Согласно этой теме http://isp.vsi.ru/forum/viewtopic.php?t=3321 блокировать нужно только .27. А то, что через прокси приходят с .23 и .26 - типа для удобства пользователей, чтобы забывшие выключить проксю могли ходить по внутренним ресурсам и не генерить при этом внешний трафик. Я так понял.
Ганзурик 13:54 23.03.2008
Part!zan, не совсем. Пользователь прописывает в браузере адрес cache.vsi.ru, который соответствует ip 80.82.32.27, который в свою очередь является исключением из бесплатного диапозона и будет платным для пользователя. А для владельца веб-сервера трафик будет бесплатным, так как обращение происходит с ip 80.82.32.23 или 80.82.32.26 (а может и еще какие). Т.е., владелец сайта не должен волноваться, что какой-нибудь невнимательный юзер зальет ему гиг через прокси, это будет проблема пользователя. По-крайней мере, я так понял.
mikе 14:19 23.03.2008
При использовании прокси, запросы приходят от 80.82.32.23 (только что проверил). Этот IP входит в список бесплатных и не входит в список исключений, так что паника необоснованна.
Коварный план 14:30 23.03.2008
Сообщение от mikе:
При использовании прокси, запросы приходят от 80.82.32.23 (только что проверил). Этот IP входит в список бесплатных и не входит в список исключений, так что паника необоснованна.
А у меня по логам запрос приходит с
[Sun Mar 23 15:37:10 2008] [error] [client 80.82.32.27]
А вообще проблему раздули из ничего, всё решается средствами фаервола за 5 минут
Torque 14:43 23.03.2008
if (getenv("REMOTE_ADDR")=="80.82.32.27") {die;}
if (getenv("REMOTE_ADDR")=="80.82.32.26") {die;}
if (getenv("REMOTE_ADDR")=="80.82.32.23") {die;}
В скрипт вставляеш и всё
Коварный план 14:48 23.03.2008
Torque, ну и не правильно. Такие вещи надо делать ещё до обращения к apache, т.е. в фаерволе. А если уж нужна избирательная фильтрация, то прописывать её нужно не в .htaccess, а в конфиг. Учитесь грамоте!
Part!zan 14:52 23.03.2008
Сообщение от Ганзурик:
владелец сайта не должен волноваться, что какой-нибудь невнимательный юзер зальет ему гиг через прокси
Я именно это и имел в виду.
Сообщение от :
не генерить при этом внешний трафик
Имелось в виду, для владельцев серверов. Torque, последние 2 строки - лишние. Ибо с этих адресов трафик бесплатный. ВСИ решили упростить людям жизнь, а ты ее опять усложняешь.
mikе 14:52 23.03.2008
ну хватит тупорылить, траффик платный только с 80.82.32.27.
Сообщение от Torque:
if (getenv("REMOTE_ADDR")=="80.82.32.26") {die;}
if (getenv("REMOTE_ADDR")=="80.82.32.23") {die;}
это зачем?
и вообще, действительно, проблема из пальца высосанна.
Torque 15:20 23.03.2008
я ограничил все 3 тк залетел сам на 400мб,так что грамоте учитесь вы.
Torque 15:21 23.03.2008
и вообще излишняя осторожность никогда не повредит
Torque 15:27 23.03.2008
Какой скелет?
Torque 15:34 23.03.2008
Нет таких не знаю....
И вообще автор попросил ограничить доступ с прокси я и ограничил так что харе флудить,если есть тему для разговора то лучше в личку.
DeBak 16:24 23.03.2008
Alex Xaker,
Если хакер, то на линухе, а если на линухе - 5й пост к вашим услугам.
Сообщение от Ганзурик:
Весь трафик с прокси блокируется правилом iptables -A INPUT -p TCP -s 80.82.32.0/24 --dport 80 -j DROP
>_<
Сообщение от Torque:
так что харе флудить,если есть тему для разговора то лучше в личку.
А Вы не переадминили на всяких ресурсах, что приказываете тут всем?
Тем более после !4! своих постов?
