Ограничение доступа по IP

[Alex Xaker]

Помогите разрешить следующую проблему: как ограничить доступ к ресурсу только пользователями домолинка, причем ГЛАВНОЕ теми пользователями, которые не используют прокси, а всех юзеров с прокси блокировать ??? Проблема гораздо серьезнее, чем кажется на первый взгляд ...

[Коварный план]

Через фаервол или конфиг апача. Какие проблемы?

[DEVASTATOR666]

Создавай .htaccess и там прописывай, либо через фаервол закрывай доступ

[Mister_Iks]

Блокируй все ИПЫ, которые не попадают в локальный диапазон домолинка. Проксю тоже блокируй, а то мало-ли.. Вдруг зайдут через оную, чтобы не повадно было..... Тем более траф на нее платен, хоть она и в диапазоне домолинка.

[Pengvin]

можно вот так
iptables -A INPUT -p all -s 77.45.128.0/255.255.128.0 -j ACCEPT
iptables -A INPUT -p all -s 80.82.32.0/255.255.224.0 -j ACCEPT
iptables -A INPUT -p all -s 88.83.192.0/255.255.224.0 -j ACCEPT
iptables -A INPUT -p all -s 80.82.32.27/32 -j REJECT
iptables -A INPUT -p all -j REJECT
iptables -A OUTPUT -p all -j REJECT

[Alex Xaker]

Я же сказал, что всё намного серьёзнее, и никакие .htaccess не помогают ... Когда чел юзает прокси ему выдаётся IP, входящий в список локальных, но при этом трафик идёт (!!!) как за внешний ... Вот насчёт поста Pengvin не знаю: пожалуйста, объясните что это и куда это прописать ... А еще лучше стукните в аську (404-034-481) ... Что касается фаервола - дайте точные данные, что и как прописать для блокировки ... И НЕ НУЖНО ЗДЕСЬ ДЕЛИТЬСЯ ВПЕЧАТЛЕНИЯМИ - ДАЙТЕ КОНКРЕТНЫЕ ФРАГМЕНТЫ ФАЙЛОВ ИЛИ НАСТРОЕК !!!

[dimedrol]

Цитата:

Я же сказал, что всё намного серьёзнее, и никакие .htaccess не помогают ... Когда чел юзает прокси ему выдаётся IP, входящий в список локальных, но при этом трафик идёт (!!!) как за внешний

так траф с локальных ip не должен учитываться независимо ip прокси или нет

[[Ариец]]

Alex Xaker, хакер из тебя никудышный... Наверное торрент делаешь? Респект тебе Нам их нехватает.

[Alex Xaker]

Вам много чего не хватает ... А если не знаете, спали бы лучше ... Или тут почитали: http://vrncoder.ath.cx/forum/viewtopic.php?t=455 ...

[Pengvin]

Цитата:

Сообщение от Alex Xaker

Когда чел юзает прокси ему выдаётся IP, входящий в список локальных, но при этом трафик идёт (!!!) как за внешний

это вам точно известно или это ваши домыслы? интернет трафик считается только для того кто использует прокси, потому что он обращается к 80.82.32.27, если айпишник выдается из диапазона локальных, то вы будете грубо говоря отправлять пакеты на локальный айпишник. С другой стороны ВСИ могли расширить диапазон для прокси сервера, но на официальном сайте это не отражено. Вобщем попробуйте поставить 4ое правило сверху в пакетнике и попросите кого-нибудь из друзей через прокси сервер зайти на ваш сайт, при этом его IP не должен быть 80.82.32.27. Если его не пустит значит это интернет трафик.

[GoR2]

http://isp.vsi.ru/support/traffic_classes.html - вот список адресов, на то что прокси делает запросы и с других адресов не обращайте внимания, траф всё равно будет локальный

[Ганзурик]

Цитата:

Сообщение от Alex Xaker

Помогите разрешить следующую проблему: как ограничить доступ к ресурсу только пользователями домолинка, причем ГЛАВНОЕ теми пользователями, которые не используют прокси, а всех юзеров с прокси блокировать ??? Проблема гораздо серьезнее, чем кажется на первый взгляд ...

Какой ты нах хакер, если для тебя элементарная настройка фаерволла кажется серьезной проблемой?
Весь трафик с прокси блокируется правилом iptables -A INPUT -p TCP -s 80.82.32.0/24 --dport 80 -j DROP

[GoR2]

80.82.32.0/24

ага давай забаним торренты, DNS и тд

[Ганзурик]

GoR2, кури маны по iptables Блокируются только соединения на 80-й порт, а не все пакеты с этих адресов! А обычные юзеры на том диапозоне не сидят.
Хоть платным и является только .27, ничего страшного не произойдет, если всех с прокси блокировать. Вдруг человек по ошибке через прокси зашел.

[Pengvin]

Цитата:

Сообщение от GoR2

80.82.32.0/24

ага давай забаним торренты, DNS и тд

а днски по UDР по умолчанию вроде как работают, а в выше указанном правиле блокируется только tcp трафик

[Ганзурик]

Pengvin, Опция "--dport 80" обозначает, что блокируются только пакеты, входящие на 80-й порт, а остальное нас не волнует. Мы же не хотим сами себе отрубать доступ к прокси?

[Ono]

жесть =)))))

[Part!zan]

Согласно этой теме http://isp.vsi.ru/forum/viewtopic.php?t=3321 блокировать нужно только .27. А то, что через прокси приходят с .23 и .26 - типа для удобства пользователей, чтобы забывшие выключить проксю могли ходить по внутренним ресурсам и не генерить при этом внешний трафик. Я так понял.

[Ганзурик]

Part!zan, не совсем. Пользователь прописывает в браузере адрес cache.vsi.ru, который соответствует ip 80.82.32.27, который в свою очередь является исключением из бесплатного диапозона и будет платным для пользователя. А для владельца веб-сервера трафик будет бесплатным, так как обращение происходит с ip 80.82.32.23 или 80.82.32.26 (а может и еще какие). Т.е., владелец сайта не должен волноваться, что какой-нибудь невнимательный юзер зальет ему гиг через прокси, это будет проблема пользователя. По-крайней мере, я так понял.

[mikе]

При использовании прокси, запросы приходят от 80.82.32.23 (только что проверил). Этот IP входит в список бесплатных и не входит в список исключений, так что паника необоснованна.

[Коварный план]

Цитата:

Сообщение от mikе

При использовании прокси, запросы приходят от 80.82.32.23 (только что проверил). Этот IP входит в список бесплатных и не входит в список исключений, так что паника необоснованна.

А у меня по логам запрос приходит с
[Sun Mar 23 15:37:10 2008] [error] [client 80.82.32.27]



А вообще проблему раздули из ничего, всё решается средствами фаервола за 5 минут

[Torque]

if (getenv("REMOTE_ADDR")=="80.82.32.27") {die;}
if (getenv("REMOTE_ADDR")=="80.82.32.26") {die;}
if (getenv("REMOTE_ADDR")=="80.82.32.23") {die;}

В скрипт вставляеш и всё

[Коварный план]

Torque, ну и не правильно. Такие вещи надо делать ещё до обращения к apache, т.е. в фаерволе. А если уж нужна избирательная фильтрация, то прописывать её нужно не в .htaccess, а в конфиг. Учитесь грамоте!

[Part!zan]

Цитата:

Сообщение от Ганзурик

владелец сайта не должен волноваться, что какой-нибудь невнимательный юзер зальет ему гиг через прокси

Я именно это и имел в виду.

Цитата:

не генерить при этом внешний трафик

Имелось в виду, для владельцев серверов.
Torque, последние 2 строки - лишние. Ибо с этих адресов трафик бесплатный. ВСИ решили упростить людям жизнь, а ты ее опять усложняешь.

[mikе]

ну хватит тупорылить, траффик платный только с 80.82.32.27.

Цитата:

Сообщение от Torque

if (getenv("REMOTE_ADDR")=="80.82.32.26") {die;}
if (getenv("REMOTE_ADDR")=="80.82.32.23") {die;}

это зачем?
и вообще, действительно, проблема из пальца высосанна.

[Torque]

я ограничил все 3 тк залетел сам на 400мб,так что грамоте учитесь вы.

[Torque]

и вообще излишняя осторожность никогда не повредит

[Torque]

Какой скелет?

[Torque]

Нет таких не знаю....
И вообще автор попросил ограничить доступ с прокси я и ограничил так что харе флудить,если есть тему для разговора то лучше в личку.

[DeBak]

Alex Xaker,
Если хакер, то на линухе, а если на линухе - 5й пост к вашим услугам.

Цитата:

Сообщение от Ганзурик

Весь трафик с прокси блокируется правилом iptables -A INPUT -p TCP -s 80.82.32.0/24 --dport 80 -j DROP

>_<

Цитата:

Сообщение от Torque

так что харе флудить,если есть тему для разговора то лучше в личку.

А Вы не переадминили на всяких ресурсах, что приказываете тут всем?
Тем более после !4! своих постов?