Izinkan akses ke server rumah saya hanya dari LAN saya menggunakan nama host eksternal

0

Saya memiliki jaringan home lan yang terhubung ke internet menggunakan router Dlink DIR-825. ISP: s dhcp telah memberikan satu ip eksternal (mis. 91.154.214.101 yang untuk alasan keamanan bukan ip saya yang sebenarnya) dan dapat diakses menggunakan nama host eksternal (mis. Mydns101.dlinkddns.com yang karena alasan keamanan bukan nama host saya yang sebenarnya ).

Saya memiliki aturan port forwarding (router Dlink menggunakan istilah Virtual Server), yang meneruskan traffic ke port 80 ke server centos6 lokal yang memiliki ip lokal 129.168.0.120 (lihat gambar di bawah).

Saya ingin mengakses server lokal ini hanya dari rumah saya, tetapi menggunakan url https://mydns101.dlinkddns.com . Sekarang saya bisa mengakses https://mydns101.dlinkddns.com dari mana-mana.

Bagaimana saya bisa membatasi akses ke server ini sehingga hanya dapat diakses dari rumah saya (91.154.214.101), tetapi menggunakan alamat eksternal https://mydns101.dlinkddns.com ?

Tentu saja saya dapat mengaksesnya dengan menggunakan ip lokal 129.168.0.120 dan tidak menggunakan penerusan port, yang berarti tidak dapat diakses dari tempat lain, tetapi dengan cara ini saya tidak dapat menggunakan alamat eksternal https://mydns101.dlinkddns.com .

Dan saya tentu saja dapat membatasi akses menggunakan httpd.conf server lokal, tetapi itu bukan cara yang ingin saya gunakan, karena tujuan untuk server rumah ini adalah menjadi server pengembangan 1-1 untuk server aktif dan saya ingin menggunakan httpd.conf identik: s di keduanya. Saya ingin menggunakan Dlink Router untuk membatasi akses.

Karena 91.154.214.101 adalah ip saya, saya pikir mengizinkan akses darinya dan menolak akses dari ip lain: s adalah cara yang harus ditempuh. Jadi, saya telah menguji semua kombinasi menggunakan Filter Masuk (lihat http://support.dlink.com/emulators/dir825/Advanced.html#Inbound_Filter ):

Name    Action  Remote IP Range      
ALLOW   Allow   0.0.0.0-91.154.214.100, 91.154.214.102-255.255.255.255      
DENY    Deny    0.0.0.0-91.154.214.100, 91.154.214.102-255.255.255.255      
ALLOW2  Allow   91.154.214.101-91.154.214.101       
DENY2   Deny    91.154.214.101-91.154.214.101

dan lampirkan filter tersebut ke aturan penerusan "Server Virtual" dengan cara ini:

enter image description here

tetapi tidak satu pun dari aturan itu yang berfungsi seperti yang diinginkan. Mereka membatasi akses dari mana saja atau memungkinkan akses dari mana saja, yang bukan perilaku yang diinginkan.

Timo Kähkönen
sumber

Jawaban:

1

Coba tambahkan aturan terjemahan yang diinginkan di hosts file pada klien. Bagaimana ini dilakukan akan tergantung pada OS klien ( /etc/hosts pada * nix systems).

Jika Anda menggunakan DNS lokal, Anda dapat memperbaikinya di sana, tetapi jika tidak, Anda harus melakukannya berdasarkan klien, dan hosts File harus menjadi cara global dan mudah.

Cukup tambahkan baris

129.168.0.120 mydns101.dlinkddns.com

untuk setiap klien yang diinginkan hosts dan lihat apa yang terjadi. Blokir server web secara eksternal seperti yang Anda jelaskan jika Anda tidak ingin akses eksternal.

Daniel Andersson
sumber
Ini berhasil! Mungkin ini hal yang tidak mungkin dilakukan di sisi router dan harus dilakukan di klien / etc / hosts. Apakah saya benar dalam ketiga asumsi ini ketika baris-baris tersebut ditambahkan ke klien / etc / hosts: 1) Saya dapat menghapus port forward di router (karena tidak diperlukan akses eksternal dan / etc / hosts menangani penerusan yang diperlukan)? 2) 'mydns101.dlinkddns.com' dapat berupa string apa pun yang tidak ada di server dns publik, karena pencarian dns eksternal tidak dibuat sama sekali? 3) / etc / hosts dari server centos lokal (dinamai sebagai mydns101.dlinkddns.com) tidak perlu apa pun yang menunjuk ke mydns101.dlinkddns.com?
Timo Kähkönen
@Timo: Hanya klien yang ingin Anda akses ke server melalui nama host itu yang akan membutuhkan /etc/hosts masuk. Itu hosts mengajukan "membajak" permintaan DNS pada klien dan diutamakan, sehingga server DNS eksternal tidak pernah dikonsultasikan. Anda tidak memerlukan penerusan port eksternal di router Anda, karena permintaan akan tetap berada di dalam LAN setiap saat.
Daniel Andersson