Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: доступ к странице с определенных IP
Покинул форум
Сообщений всего: 50
Дата рег-ции: Март 2009
Помог: 0 раз(а)
Добрый вечер! Есть внутренняя сеть на работе. хочу сделать доступ к странице только с определенных IP. вот пример:
if ($_SERVER['REMOTE_ADDR'] == '192.168.1.57')
{
войти можно
}
else
{
войти нельзя
}
с точки зрения безопасности да и вообще правильности это подойдет?
CodeWarrior
Отправлено: 14 Марта, 2009 - 21:23:06
Частый гость
Покинул форум
Сообщений всего: 157
Дата рег-ции: Янв. 2009 Откуда: Албания
Покинул форум
Сообщений всего: 1107
Дата рег-ции: Окт. 2008 Откуда: Украина, Мариуполь
Помог: 0 раз(а)
подойдет.. если никто не будет айпишки менять
-----
Evgeniux
Отправлено: 14 Марта, 2009 - 21:32:57
Новичок
Покинул форум
Сообщений всего: 50
Дата рег-ции: Март 2009
Помог: 0 раз(а)
хорошо, спасибо!
EuGen
Отправлено: 16 Марта, 2009 - 10:57:28
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Во внутренней сети правильнее ограничить доступ на фаерволе через MAC-адресацию (это на случай, если у Вас классическая проблема - DHCP)
-----
vitaliy_mad
Отправлено: 16 Марта, 2009 - 20:52:55
Участник
Покинул форум
Сообщений всего: 1107
Дата рег-ции: Окт. 2008 Откуда: Украина, Мариуполь
Помог: 0 раз(а)
EuGen пишет:
Во внутренней сети правильнее ограничить доступ на фаерволе через MAC-адресацию (это на случай, если у Вас классическая проблема - DHCP)
этим все равно полностью проблему не решить... хотя есть способы ее уменьшить...
-----
EuGen
Отправлено: 17 Марта, 2009 - 11:17:08
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Этот способ не ориентирован на PHP
А вот почему это не позволит решить данную проблему в плоской сети - объясните. (Экстраординарные решения пользователей а-ля "сменить MAC" не в счет)
-----
vitaliy_mad
Отправлено: 17 Марта, 2009 - 11:36:41
Участник
Покинул форум
Сообщений всего: 1107
Дата рег-ции: Окт. 2008 Откуда: Украина, Мариуполь
Помог: 0 раз(а)
EuGen пишет:
Этот способ не ориентирован на PHP
А вот почему это не позволит решить данную проблему в плоской сети - объясните. (Экстраординарные решения пользователей а-ля "сменить MAC" не в счет)
в том то и дело, что откидывать смену мака нельзя... это очень большая проблема в сетях. пользователи научились читать маналы и эксперементируют... по поводу фаервола... насчет винды не уверен есть ли такие... но в линухе фаервол не следит за аками, для этого есть arp. и как админ дом сети, могу сказать с увереностью, что проблема подмены мака существует, и она приностим массу проблем. Есть замечательная программка arpwatch, точнее демон. который частично помагает решить проблему с неопытними пользователями, которые не аккуратно подменяют мак...
-----
EuGen
Отправлено: 17 Марта, 2009 - 11:46:00
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Проблема решалась при помощи стандартного iptables (критерий MAC)
Составлялся список MAC-адресов (точнее, в имеющийся список добавлялся новый MAC при подключении новой машины). С этих адресов трафик пропускался, остальные были запрещены.
И если кто то менял свой сетевой MAC-адрес, он просто не мог пользоваться ресурсами сети и у него было 2 выхода - пойти ко мне (и получить нагоняя), или сменить адрес обратно.
И проблемы не существовало.
-----
vitaliy_mad
Отправлено: 17 Марта, 2009 - 11:54:27
Участник
Покинул форум
Сообщений всего: 1107
Дата рег-ции: Окт. 2008 Откуда: Украина, Мариуполь
Помог: 0 раз(а)
EuGen пишет:
И если кто то менял свой сетевой MAC-адрес, он просто не мог пользоваться ресурсами сети и у него было 2 выхода - пойти ко мне (и получить нагоняя), или сменить адрес обратно.
не понял.... ты хочешь сказать, что если человек поменяет свой мак на чужой, то его iptables заблокирует?
-----
EuGen
Отправлено: 17 Марта, 2009 - 11:55:28
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Если человек меняет свой адрес на какой-либо другой.
Если он сменит свой адрес на чей-то то у нас будет 2 одинаковых MAC-адреса в сети.
-----
vitaliy_mad
Отправлено: 17 Марта, 2009 - 11:58:01
Участник
Покинул форум
Сообщений всего: 1107
Дата рег-ции: Окт. 2008 Откуда: Украина, Мариуполь
Помог: 0 раз(а)
EuGen пишет:
Если человек меняет свой адрес на какой-либо другой.
Если он сменит свой адрес на чей-то то у нас будет 2 одинаковых MAC-адреса в сети.
ааа... ну конечно... вот только народ умный они меняют IP+MAC когда жертвы обмана нет в сети... перед этим периодически сохраняют у себя кеш ARP. я с этим пытался бороться arp-спуфингом. но так очень нагружается сеть... теперь остановился на arpwatch... пару раз по могзам дал... пока что все затихло... (Добавление)
любой другой то не проблема... неизвестные маки отсеиваються в любом случае...
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
Главная
Помощь
Поиск
Пользователи
Форумы портала PHP.SU » PHP » Программирование на PHP (Модераторы: valenok, OrmaJever, Саныч)
Описание: с точки зрения безопасности
