.htaccess abhängig von IP

[mstuebner]

Hallo,

ich hab hier im lokalen Netz einen Webserver stehen, welcher auch von aussen zu erreichen ist. Eine interne Site ist per .htaccess (req. valid user) geschützt. Leider gilt dies nun für jeden Zugriff. Leider steige ich nichtdahinter, ob es möglich ist die Abfrage von Usr/Pwd für eine singuläre IP oder ein Subnet ausser Betrieb zu setzten. Kann mir da jemand die richtige Richtung weisen?

[robertw]

Sollte gehen.

Wenn Du Dir hiermal das Beispiel unter dem Kapitel "Satisfy" anschaust, dann wird dort dazu gesagt "In this scenario, users will be let in if they either have a password, or if they are in the internal network."

Das dürfte doch das sein, was Du suchst.

Robert

[mstuebner]

Sollte gehen.

Wenn Du Dir hiermal das Beispiel unter dem Kapitel "Satisfy" anschaust, dann wird dort dazu gesagt "In this scenario, users will be let in if they either have a password, or if they are in the internal network."

Das dürfte doch das sein, was Du suchst.

Stimmt wohl. Wenn man annimmt dass "allow" genauso wie "deny" auch eine IP akzeptiert.

Danke für den Reminder.

[robertw]

Tut es. Direkt drüber im Kapitel "Allow and Deny" steht

The Allow and Deny directives let you allow and deny access based on the host name, or host address, of the machine requesting a document. The directive goes hand-in-hand with these is the Order directive, which tells Apache in which order to apply the filters.

The usage of these directives is:

allow from address
where address is an IP address (or a partial IP address) or a fully qualified domain name (or a partial domain name); you may provide multiple addresses or domain names, if desired.

Robert

[mstuebner]

Tut es. Direkt drüber im Kapitel "Allow and Deny" steht

The Allow and Deny directives let you allow and deny access based on the host name, or host address, of the machine requesting a document. The directive goes hand-in-hand with these is the Order directive, which tells Apache in which order to apply the filters.

The usage of these directives is:

allow from address
where address is an IP address (or a partial IP address) or a fully qualified domain name (or a partial domain name); you may provide multiple addresses or domain names, if desired.

Nach ausgiebigen Tests kann ich nun versichern dass

Code: Select all

Require valid-user
Allow from 192.158.178.31
Satisfy any

nicht den gewünschten Effekt bringt. Wenn obiges in der .htaccess steht kann jeder, sowohl LAN als auch WAN, ohne valid-user zugreifen, obwohl nur meine Workstation obige IP hat (also kein Gate etc.)

Any other idea?

[jtb]

wie wäre es mit "Satisfy All"?

[mstuebner]

wie wäre es mit "Satisfy All"?

Was dann aber heissen würde, dass es ein valid-user (user/pwd) UND von der IP kommen muss, stimmts?

Zweck war sich von der IP nicht immer einloggen zu müssen!

[robertw]

Poste doch mal die komplette .htaccess.

"Satisfy All" sollte, wenn ich die Beschreibung richtig verstehe, nicht die richtige Option sein. Ausprobieren kann aber sicher nicht schaden.

Hast Du mal das Beispiel der Doc 1:1 ausprobiert?

Robert

[oxygen]

Nach ausgiebigen Tests kann ich nun versichern dass

Code: Select all

Require valid-user
Allow from 192.158.178.31
Satisfy any

nicht den gewünschten Effekt bringt. Wenn obiges in der .htaccess steht kann jeder, sowohl LAN als auch WAN, ohne valid-user zugreifen, obwohl nur meine Workstation obige IP hat (also kein Gate etc.)

Any other idea?

Wie wärs mal mit

Code: Select all

Order Deny,Allow
Deny from All
Allow from 192.158.178.31
Require valid-user
Satisfy any

oder hattest du das Order und Deny in deinem Codeschnipsel ausgelassen?

[freeze]

Bei mir läuft es mit folgender .htaccess:

Code: Select all

AuthType        Basic
AuthName        "Anmeldung"
AuthUserFile    .htpasswd
AuthGroupFile   .htgroups
require group admins
order deny,allow
deny from all
allow from 192.168.1 # Lokales Netz
Satisfy any

[mstuebner]

Poste doch mal die komplette .htaccess.

"Satisfy All" sollte, wenn ich die Beschreibung richtig verstehe, nicht die richtige Option sein. Ausprobieren kann aber sicher nicht schaden.

Aktuell siehts so aus:

Code: Select all

AuthType Basic
AuthName "Internals"
AuthUserFile e:/wwwroot/home.stuebner.de/html/pwds

Require valid-user
Order deny,allow 
Deny from all 
Allow from 192.158.178.31 
Satisfy any

aber ich muss auch von der einen IP wieder ein pwd eingeben. Hätte nie gedacht dass das so kompliziert sein kann.

[robertw]

Ich habs mal bei mir ausprobiert, bei mir funktioniert Dein Beispiel problemlos. Von lokal komme ich ohne PW an das Verzeichnis, über das WWW muss ein PW eingegeben werden. Ich habe Deine .htacces benutzt und nur die IP-Adresse und den Pfad zur Users-Datei ausgetauscht.

Eines macht mich in Deiner Datei etwas stutzig - die IP-Adresse. Vorher kommt den die Adresse 192.158.178.31.? Benutzt Du diese wirklich in Deinem internen Netz?

Allerdings benutze ich Apache unter Linux, Du offensichtlich unter Windows. Und mit diesen möglichen Probleme kenne ich mich quasi nicht aus.

Robert

[mstuebner]

Eines macht mich in Deiner Datei etwas stutzig - die IP-Adresse. Vorher kommt den die Adresse 192.158.178.31.? Benutzt Du diese wirklich in Deinem internen Netz?

Yepp, I do. Der Grund ist genaus pervers wie einfach. Ich habe aus meiner alten Firma einen Druckserver welcher in diesem Netz liegt, für den ich aber die Software zum Ã?ndern der IP nicht mehr finde. ;-) Geht jetzt schon seit drei Jahren so.

Allerdings benutze ich Apache unter Linux, Du offensichtlich unter Windows. Und mit diesen möglichen Probleme kenne ich mich quasi nicht aus.

Ist nur ein kleines dödeliges Testsystem zuhause.