[Apache] access via IP en/of authentication - Serversoftware en clouddiensten

donderdag 28 februari 2002 00:16

Acties:

Topicstarter

Ik zit met het volgende: er is een site gemaakt waarop alleen toegang verkregen wordt als de client vanaf bepaalde (gedefinieerde) IP-adressen komt. Geen probleem met apache.
Nu willen echter ook enkele thuiswerkers met een dial-up verbinding op die site kunnen komen. De pest is alleen dat het merendeel van die thuiswerkers een dynamisch ip-adres toegewezen krijgen en ik dus geen regel kan opstellen over toegestane adressen.

Is het met apache mogelijk om het zo te regelen dat clients vanaf bepaalde adressen gewoon op die site mogen, en clients die buiten de toegestane range vallen automagisch moeten inloggen via een user/pass combinatie?

donderdag 28 februari 2002 00:41

Acties:

vso

tja...

hmmm hoe defineer je die IP adressen die de inbellers krijgen ?

ik zou in jou geval zoiezo een DHCP server neerknallen kan je een range opgeven .. (die ook voor de inbellers geld)
range aan je apache opgeven .. KLAAR..

erhm .htaccess daarmee kan je regelen als het goed is met apache ..

maar misschien is het ook zo ..OF op IP of op Login/pass
lijkt me sterk maaruh alles kan.
je zou ook de ras verbindingen natuurlijk als IP-range op kunnen geven .. ligt aan je situatie.. btw met DHCP kan je ook dhcp "static" maken door hem aan een MAC adress te verbinden ..

ik heb zelf in mijn netwerk maar 1 pc die een IP heeft en dat is de DHCP server zelf de overige servers krijgen via DHCP een static IP en de rest dynamisch .. als ik wat wil wijzigen betreft routers of DNS ofzo .. dan wijzig ik dat maar op 1 plek .. scheelt zo veel ge-admin

Tja vanalles

donderdag 28 februari 2002 09:37

Acties:

Arjan A

Cenosillicafoob

Je kan inbellers dwingen om eerst met VPN een verbinding te maken. Op die manier heb je een geldig IP-adres aan die mensen toegewezen.

Canon EOS | DJI M2P
Fotoblog · Mijn werk aan jouw muur

donderdag 28 februari 2002 14:16

Acties:

Jochem

Ik weet bijna zeker dat je beide naast elkaar kunt gebruiken. Ik heb het een keer zo geimplementeerd ergens. Kijk anders alsjeblieft even op http://httpd.apache.org/docs/.

Je kunt ook de twee dingen combineren. Users bellen vaak via dezelfde ISP in. Deze ISP heeft een netblock voor de dial-up verbindingen. Als je 1 IP adres van zo'n netblock weet, kun je achter de rest komen door "whois aaa.bbb.ccc.ddd" te doen (onder linux in dit geval maar ook met andere IP tools) Zo kun je een bepaalde user alleen laten inloggen binnen een bepaalde IP range.

donderdag 28 februari 2002 19:32

Acties:

Marcel

Topicstarter

Op donderdag 28 februari 2002 00:41 schreef vso het volgende:
hmmm hoe defineer je die IP adressen die de inbellers krijgen ?

Niet, want die weet ik helaas niet. Het zijn dial-up users die via hun ISP online komen. Geen RAS o.i.d.

ik zou in jou geval zoiezo een DHCP server neerknallen kan je een range opgeven .. (die ook voor de inbellers geld)
range aan je apache opgeven .. KLAAR..

Zie boven, ik kan hun ip niet bepalen. Was het maar waar.
Ook VPN is niet mogelijk.

Je kunt ook de twee dingen combineren. Users bellen vaak via dezelfde ISP in. Deze ISP heeft een netblock voor de dial-up verbindingen. Als je 1 IP adres van zo'n netblock weet, kun je achter de rest komen door "whois aaa.bbb.ccc.ddd" te doen (onder linux in dit geval maar ook met andere IP tools) Zo kun je een bepaalde user alleen laten inloggen binnen een bepaalde IP range.

Hier had ik nog niet aan gedacht, maar dit lijkt me niet een veilige oplossing omdat er een aantal mensen bij zitten die via grote ISP's inbellen. Als alles van een provider af zou komen zou ik hier niet zoveel problemen mee hebben, maar dat is dus niet het geval.

Iemand nog een suggestie? Ik ga in ieder geval weer flink rondspitten op internet, mocht ik wat tegenkomen voordat jullie dat doen, dan laat ik het hier wel weten.

donderdag 28 februari 2002 19:42

Acties:

vso

tja...

ff een wild idee:

en dit hangt af wie er natuurlijk wel bij moet mogen en wie niet.

je geeft interne users een p/w combo in combinatie met externe users .. die je dan wel of neit d.m.v cookie per compu opslaat tijdsduur ik jou eigen wensen natuurlijk.

btw wie op de webpagina komt moet je toch kunnen logen ?
een btw zeer handige optie voor zoiezo veiligheid. uit die logs kan je ook halen wie er op is geweest.

je zou desnoods via een aparte inlog pagina een cookie kunnen verstrekken die tijdelijk access aan dat IP+user geeft. dat ip zou je kunnen laten toevoegen en verwijderen van je acces list wanneer nodig.

dan zou je het volgende Idee krijgen:
sta je op de IP list ?
ja -> ga door naar de site
nee -> log op deze pagina in ->
1) 3x fout username/pass is 15 min geblokt.
2) goeie username/pass IP wordt tijdelijk toegevoegd jij krijgt een cookie/access token en die verloopt bij uitloggen/reboot en bedenk het maar..

Tja vanalles

donderdag 28 februari 2002 19:48

Acties:

mrfatmen

je kan dit doen met .htaccess

voorbeeld

code:

AuthUserFile /usr/home/lee/htpasswd
AuthName "beveiligt gebied"
AuthType Basic 
Satisfy Any  
<Limit GET POST>
order deny,allow
deny from all
allow from .golden.net
allow from 127.0.0.1
require valid user
</Limit>

Heeft uw auto pijn? Ga dan naar de onderdelenlijn
Het bedrijf waar ik met veel plezier werk - Mijn eigen vertrouwde domein

woensdag 6 maart 2002 12:37

Acties:

Marcel

Topicstarter

Yep, die laatste was het inderdaad.
De "Satisfy Any" deed het hem. Na wat verder rondneuzen bleek dit ook in de documentatie (d.w.z. O'Reilly Apache boek) te staan, had ik nog niet gezien. Zoeken is ook een kunst

Bedankt!