Freesco, NND, CDN, EOS :: Wyświetl temat - Blokowanie wejść bezpośrednio po IP

Freesco, NND, CDN, EOS http://forum.freesco.pl/

Blokowanie wejść bezpośrednio po IP http://forum.freesco.pl/viewtopic.php?f=22&t=15880	Strona 1 z 1

Autor:	Neovigo [ sobota, 1 września 2007, 18:38 ]
Tytuł:	Blokowanie wejść bezpośrednio po IP
Mam serwer NND z przypisaną jedną domeną (rekord A na zewnętrznym DNS). Na serwerze chodzi proftpd, lighttpd (thttpd wywaliłem), dhcp, uptimed i parę standardowych dupereli. Chciałbym zablokować dostęp do usług serwera, które odwołują się poprzez jego zewnętrzny adres IP. Innymi słowy, chciałbym, żeby zachowanie serwera wyglądało tak: - można połączyć się z FTP używając adresu domena.domena.pl:21 - można połączyć się z FTP lokalnie (192.168.1.1:21) - nie można połączyć się z FTP zewnętrznie po IP (ZEW.IP.ZEW.IP:21) oczywiście FTP jest tutaj usługą przykładową Czy coś takiego jest do zrealizowania?

Autor:	tasiorek [ sobota, 1 września 2007, 18:53 ]
Tytuł:	Re: Blokowanie wejść bezpośrednio po IP
Neovigo pisze: Czy coś takiego jest do zrealizowania? Pomijajac sens takiego rozwiazania, ja sie z czyms takim nie spotkalem

Autor:	Neovigo [ sobota, 1 września 2007, 19:02 ]
Tytuł:	Re: Blokowanie wejść bezpośrednio po IP
tasiorek pisze: Neovigo pisze: Czy coś takiego jest do zrealizowania? Pomijajac sens takiego rozwiazania, ja sie z czyms takim nie spotkalem Hmm... sens byłby taki, że ten, kto nie znałby domeny (która zresztą ma mieć charakter niepubliczny), nie byłby w stanie się zalogować na serwer z zewnątrz. To po pierwsze. Po drugie, blokowanie dostępu do usług z bezpośredniego IP wyeliminowałoby maszyny/boty skanujące i próbujące się włamać na przykład na ssh. (Żeby to zrobić, musiałyby znać tę domenę)

Autor:	Maciek [ sobota, 1 września 2007, 20:12 ]
Tytuł:
Dołączając się do tasiorka, wyjaśnię ci - o ile nie wiesz - że adresy domenowe są wprowadzone przez ludzi, bowiem im trudno zapamiętać abstrakcyjne numery IP. Zaś dla komputerów naturalnym sposobem komunikowania są właśnie te numerki. Zauważ, iż polecenia netstat czy iptables -L wykonują się zwykle dłużej niż netstat -n czy iptables -Ln, bowiem komputer domyślnie chce dać swojemu użytkownikowi informacje znośne dla niego i przerabia numerki na nazwy. Wpisanie -n zwalnia go z tego obowiązku i podaje informacje natychmiastowo. Twoje marzenie po pierwsze stawia cię w rzędzie tych, którzy chcieliby zabronić komputerom porozumiewać się właściwym dla nich językiem, co zdecydowanie spowolniłoby i tak już wolny internet. A jednocześnie przypomina kogoś, kto chciałby zjeść ciastko i mieć ciastko. Więc używając modnego obecnie stwierdzenia "wg mojej dobrej wiedzy w tym temacie" - powiem, że ja też nigdy o takiej możliwości nie słyszałem.

Autor:	Neovigo [ sobota, 1 września 2007, 21:50 ]
Tytuł:
Dzięki za odpowiedź Myślałem może o czymś w rodzaju wirtualnych hostów w apache/lighttpd, które rozpoznają, "z jakiego adresu" nadchodzi request... Moja nadzieja opierała się na tym, że może istnieje coś podobnego (tylko bardziej uniwersalnego, coś jak wewnętrzne proxy), że nazwa domeny nie jest zależna tylko od protokołu HTTP...

Strona 1 z 1	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/