--=REKLAMA=--

Jak używając .htaccess udostępniać i blokować połączenia z określonego IP?

Z Joomla!WikiPL

(Przekierowano z Jak blokować dostęp do katalogów dla połączeń z określonego IP używając .htaccess?)

Katalog dostępny tylko z określonego IP

Efektywnym sposobem ochrony katalogu /administrator w standardowej instalacji Joomla! może być udostępnienie go tylko połączeniom z określonego adresu IP. Aby jednak z tej metody skorzystać, musisz posiadać statyczny adres IP, z którego będziesz się łączyć.

Przedstawiany sposób może być wykorzystany do ochrony każdego innego katalogu w public_html. Każdy, kto spróbuje przeglądać tak zabezpieczony katalog, otrzyma sygnał błędu 403 (Zabroniony dostęp ze względu bezpieczeństwa).

Czynności

  1. W katalogu, który chcesz chronić, utwórz (lub otwórz istniejący) plik .htaccess.
  2. Dodaj poniższy kod do tego pliku, zamieniając 100.100.100.100 w tym przykładzie, na Twój statyczny numer IP.
########## Start – Dostęp tylko z określonego adresu IP
Order deny, allow
Deny from all
Allow from 100.100.100.100
########## Koniec – Dostęp tylko z określonego adresu IP

Pierwsza linia określa kolejność wykonywania dyrektyw – najpierw zostaną wykonane polecenia blokujące dostęp (tu jedno), a następnie zezwalające na dostęp. Można by tę linię opuścić, bowiem standardowo zawsze najpierw wykonywane są polecenia blokujące. Druga linia blokuje dostęp wszystkim, natomiast trzecia zezwala na dostęp z podanego adresu lub adresów IP – można tu bowiem wpisać kilka adresów, oddzielając je przecinkami, np.:

100.100.100.101, 100.100.100.102

Blokowanie dostępu połączeniom z określonego IP

Tę samą metodę możemy wykorzystać w odwrotny sposób – blokować dostęp poszczególnym adresom IP lub całym ich grupom, aby np. udaremnić działalność spamujących robotów internetowych czy utrudnić przeglądanie witryny uciążliwym użytkownikom.

Czynności

  1. Otwórz do edycji plik .htaccess umieszczony w głównym katalogu (lub innym, który chcesz chronić).
  2. Dodaj następujący kod do tego pliku, zamieniając adresy IP tym, które chcesz blokować:
########## Start – Blokowanie połączeń z określonych adresów IP
Order allow, deny
Deny from 200.200.200.200
Deny from 210.210.210
Deny from 220.220
Allow from all
########## Koniec – Blokowanie połączeń z określonych adresów IP

Zwróć uwagę na dwie kwestie.

Po pierwsze – niestandardową kolejność zarządzoną poleceniem Order allow, deny. Gdyby jej nie było, umieszczone na końcu polecenie Allow from all osłabiłaby działanie poprzednich. W aktualnym ujęciu połączenia ze wszystkich adresów poza wyszczególnionymi zostaną zaakceptowane.

Po drugie – na różny zakres blokowania w poleceniach Deny from. W pierwszym z poleceń blokujemy połączenia z dokładnie określonego adresu, w drugim blokujemy połączenia ze wszystkich adresów IP rozpoczynających się od 210.210.210. W kolejnym mamy przykład jeszcze szerszego zasięgu.

Czarna lista

Poniżej znajduje się niewielka "czarna lista" adresów IP zasłużonych działalnością internetowych bandytów. Gdy zawodzą inne metody ochrony, rozwiązaniem może być umieszczenie poniższej listy i instrukcji zarazem w omawianym przed chwilą bloku poleceń.

deny from  213.219.122
deny from  195.150.77.248
deny from  212.68.215.87
deny from  85.17.1.117
deny from  80.237.211.8
deny from  72.37.212.106
deny from  195.150.77.248
deny from  212.68.215.87
deny from  87.101.65.166
deny from  213.238.83.202
deny from  217.76.116.186
deny from  83.21.16.227
deny from  83.15.0
deny from  79.163.225.105
deny from  85.112.193.38
deny from  85.112.193
deny from  83.15.0.51
deny from  77.70
deny from  77.70.106.4
deny from  77.70.106.72
deny from  89.79.112.149
deny from  89.77.2.35
deny from  89.77.2.35

'Blokowanie dostępu połączeniom z określonych domen

Posługując się poznanymi przed chwilą poleceniami, można również zablokować dostęp do witryny dla hostów z konkretnej subdomeny lub dla całych domen. Podobnie jak w poprzednim przykładzie, można wykorzystać tę metodę dla blokowania domen znanych ze spamerskiej działalności. W pliku .htaccess umieszczamy taki np. zestaw poleceń:

########## Start – Blokowanie połączeń z określonych domen
Order allow, deny
deny from  .fc03.deviantart.com
deny from  .deviantart.com
deny from  .west-sounds.com
deny from  .lowmp3.info
deny from  .justmusicmp3.com
deny from  .isound.be
deny from  .kwatera.com
deny from  .galomat.pl
deny from  .peggysage.pl
deny from  .rakszawskie.p2a.pl
deny from  .wba.wbhosting.co.ukital-charms.com
deny from  .ital-charms.com
deny from  .wbhosting.co.uk
deny from  .zone-h.orgwba.wbhosting.co.uk
deny from  .zone-h.com
deny from  .fileupyours.com
deny from  .parit.org
deny from  .ankietaonline.pl
deny from  .ankieta-online.pl
deny from  .leaseweb.com
deny from  .pachecotecnologia.net
deny from  .pachecotecnologia.com
deny from  .freeimagehosting.netexamples.oreilly.com
deny from  .examples.oreilly.com
deny from  .oreilly.com
deny from  .spieleck.de
deny from  .onkare.com 
deny from  .superlab.com
deny from  .cyber-warrior.org
deny from  .cyber-security.orgmegalan.bg
deny from  .megalan.bg
deny from  .hewew245.sitemynet.com
deny from  .mynet.com
deny from  .sitemynet.com
deny from  .hewew245.sitemynet.com
deny from  .dosya.ayyildiz.org
deny from  .hackbulten.com
deny from  .forumdapaylas.com
deny from  .ashiyane.org
###### Nie usuwaj linii poniżej
Allow from all
########## Koniec – Blokowanie połączeń z określonych domen

Uwaga

Stosowanie wyżej opisanej metody wykluczeń w bardzo szerokim zakresie nie jest zbyt efektywne. Po pierwsze, spowalniają one ładowanie strony przy bardzo długich listach adresów IP - system musi sprawdzić, czy dane wywołanie nie jest wykluczone, a to wymaga czasu. Po drugie, w dłuższym okresie czasu takie listy się dezaktualizują, ponieważ wiele exploitów jest uruchamianych na zaatakowanych maszynach, albo wysyłane są przez serwery proxy, co maskuje rzeczywiste adresy atakującego. Włamywacze mogą atakować z wielu zainfekowanych komputerów, które przez pewien czas pozostają pod ich kontrolą, ich blokowanie w dłuższym czasie prowadzi do blokowania legalnych użytkowników - właścicieli tych adresów IP, ale nie atakujących. Jeżeli zamierzasz stosować tę metodę, stosuj ją z umiarem, i staraj się często aktualizować listę wykluczeń, aby na bieżąco reagować na dynamicznie zmieniające się pozycje internetowych bandytów.

Dziękujemy za wkład

» Stefan Wajda [zwiastun],