nicht angemeldet
Apache für Intranet
Ich hab mir Apache als Webserver installiert (win xp)
Jetzt will ich einen neuen Namen (Domain) einrichten der in ein bestimmtes unterverzeichniss führt( X führt in verzeichniss htdocs/x usw)Aber wie geht dass???
-
hallo Christian,
Jetzt will ich einen neuen Namen (Domain) einrichten der in ein bestimmtes unterverzeichniss führt( X führt in verzeichniss htdocs/x usw)Aber wie geht dass???
Das geht mit einem virtuellen Host. Wie der einzurichten ist, steht in der Apache-Dokumentation, die du in deinem Apache-Verzeichnis findest, aber auch online unter http://httpd.apache.org/docs-project/ besuchen kannst
Grüße aus Berlin
Christoph S.
-
#Damit Du Dich nicht durch die englischen seiten durchgraben musst:
NameVirtualHost 127.0.0.1
Konfiguration für den localhost:
<VirtualHost localhost>
ServerAdmin webmaster@localhost
DocumentRoot C:/apache/htdocs/
ServerName localhost
ErrorLog logs/error.log
CustomLog logs/access.log common
</VirtualHost>Abweichend für Zugriffe von aussen, hier für Zugriffe über dynamische IP (gleiches Verzeichnis, wird aber nur anders geloggt )
<VirtualHost deinhost.dyndns.org>
ServerAlias deinhost.dyndns.org *.deinhost.dyndns.org
#Dyndns.org unterstützt wildcards
#wird also sowohl bei Zugriffen auf:
#http://deinhost.dyndns.org als auch:
#http://www.deinhost.dyndns.org benutzt
ServerAdmin webmaster@deinhost
DocumentRoot C:/apache/htdocs/
ServerName deinhost.dyndns.org
ErrorLog logs/error_dyndns.log
CustomLog logs/access_dyndns.log common
</VirtualHost>Ein weiterer virtueller Host
#Du musst nur dafür sorgen, dass Zugriffe aus dem lokalen Netz über
#einen DNS richtig aufgelöst werden und das nicht mit #http://ip-adresse zugegriffen wird.
<VirtualHost dein_anderer_virtueller_host.sonstwo>
ServerAlias virtueller_host.sonstwo *.virtueller_host.sonstwo
ServerAdmin webmaster@virtueller_host.sonstwo
DocumentRoot C:/apache/htdocs/virtueller_host
ServerName virtueller_host
ErrorLog logs/error_virtual_host.log
CustomLog logs/access_virtual_host.log common
</VirtualHost>#fastix
-
Hallo!
Kann man das eigentlcih auch für interne LAN-IPs begrenzen? Also kann ich einen virtuellen Host für alle Requests an 192.168.0.1 haben? Oder anders herum für alle Requests von 192.169.x.x?
Grüße
Andreas-
Kann man das eigentlcih auch für interne LAN-IPs begrenzen? Also kann ich einen virtuellen Host für alle Requests an 192.168.0.1 haben? Oder anders herum für alle Requests von 192.169.x.x?
Du wollst also Anfragen aus dem Intranet auf einen bestimmten virtuellen host schicken?
Ok.
Mach es doch so:
Virtueller Host1 und IP- Adresse: gewöhnliche Seite.
Virtueller Host2 virtueller Server.Wenn jetzt der Name des virtuelle Hosts2 nicht im Internet aufgelöst wird, sondern nur im Intranet, dann sollte es gehen. Außerdem musst Du noch den virtuellen Host2 mit der Zugriffs- Direktive:
Order deny, allow
deny from all
allow from 192.168.0.*schützen. Somit wäre er auch dann nicht "erreichbar", wenn jemand die IP kennt und z.B. mittels eines lokalen hosts- Eintrages oder DNS Servers aus dem Internet zugreift.
Für noch mehr gibts dann noch den Proxy, Firewalls mit Masquerading, Portmapping und den unschuldig verarmten fastix, der davon ein wenig weiss und Geld braucht :)
-
hallo fastix,
ähm ... vor rund ner Stunde hatte ich schonmal was zum Thema geschrieben, aber ich war auf FreeBSD und plötzlich stieg meine Maus aus ... keine Chance mehr, den Text zu posten und/oder zu speichern ;-(
Kann man das eigentlcih auch für interne LAN-IPs begrenzen? Also kann ich einen virtuellen Host für alle Requests an 192.168.0.1 haben?
@Andreas: ja, bis dahin gehts
Oder anders herum für alle Requests von 192.169.x.x?
@Andreas: und das ist sehr schwer zu beantworten (können wir eventuell in diesem Thread noch vertiefen)
Du willst also Anfragen aus dem Intranet auf einen bestimmten virtuellen host schicken?
@fastix: Ich hab Andreas nicht in diesem Sinn verstanden, aber seis drum:
Virtueller Host1 und IP- Adresse: gewöhnliche Seite.
Virtueller Host2 virtueller Server.ups, wo nimmst du plötzlich den Unterschied von "virtuellem host" unjd "virtuellem Server" her?
Wenn jetzt der Name des virtuelle Hosts2 nicht im Internet aufgelöst wird, sondern nur im Intranet, dann sollte es gehen.
Stimmt teilweise, hat aber mit der Namensauflösung wenig bis nix zu tun. Die Crux ist dabei, daß _jeder_ unbekannte Adresßname auf das DocumentRoot des ersten virtuellen hosts umgeleitet wird, sofern der lokale Apache aktiv ist, aber keine Intenretverbindung besteht. Und zwar unabhängig davon, ob du auch noch einen lokalen DHCP/DNS-Server laufen hast. Also: wenn du _einen_ Namen http://fastix.mydomain.de als virtuellen host definiert hast, greift auch http://fastix.korthaus.de oder http://www.korthaus.net auf dasselbe DocumentRoot-Verzeichnis zu (offline bzw. am lokalen Apache), sofern es dafür nicht einen eigenen virtuellen Host gibt
Außerdem musst Du noch den virtuellen Host2 mit der Zugriffs- Direktive:
Order deny, allow
deny from allACK
allow from 192.168.0.*
Nein. Das stimmt so zumindest bei Apache 2.0.x nicht mehr, der will bei mir keine Platzhalter (Sternchen) haben, sondern die volle IP. Besser wäre hier bei "allow" ohnehin die Angabe des "full qualified" Hostname anstelle einer IP. Das können durchaus auch mehrere Hostnamen sein. Die Rolle der "hosts"-Datei darf man dabei keinesfalls (egal, auf welchem System) unterschätzen!
Somit wäre er auch dann nicht "erreichbar", wenn jemand die IP kennt und z.B. mittels eines lokalen hosts- Eintrages oder DNS Servers aus dem Internet zugreift.
Das sind aus meiner Sicht gleich mehrere Fehler.
- "aus dem Internet zugreifen" auf eine _private_ IP (oder ein privates Netz) sollte eh nicht in dieser Form möglich sein. Ausnahmen könnten die Regel bestätigen [siehe http://forum.de.selfhtml.org/archiv/2002/12/32954/#m179147).
- "mittels eines lokalen hosts-Eintrages" kann man eminent viel bewerkstelligen. Hat aber für den Apache _so_gut_wie_ keinen Einfluß auf dessen virtuelle hosts
- ein DNS-Server ist nur dann von Bedeutung (auch im Intranet), wenn der Apache ihn kennt.Für noch mehr gibts dann noch den Proxy
öhm, nö. Laß das mal (vorerst) weg, hat mit der Nachfrage nur mittelbar zu tun
Firewalls mit Masquerading
ohje. Eine "Firewall mit Masquerading" ist zwar prinzipiell auch innerhalb eines Intranet (oder LAN) möglich, macht da aber in der Regel keinen Sinn. Wo sie unbedingt installiert sein sollte, ist der "host", der für ein ganzes Intranet die "öffentlichen" requests durchrouten soll. Was soll eine Firewall im Intranet ? Da _muß_ man doch voraussetzen können, daß keiner der angeschlossenen Rechner Unsinn anstellt ...
Portmapping
ebenso problematisch. Im Intranet eher kontraproduktiv, bei einer Konstruktion, bei der ein "Server" ein "Intranet" durchrouten soll, allerdings höchst sinnvoll
Und bisher haben wir noch nichtmal nach dem Betriebssystem gefragt, auf dem sich das Ganze abspielen soll, denn da gibts doch zwischen WINDOWS und LINUX/UNIX ein paar geringfügige Unterschiede. Auch zwischen den Apache-Versionen gibts da ein paar Unterschiede ...
und den unschuldig verarmten fastix
hehe, den unschuldig armen CS gibts auch - sollen wir jetzt unsere Unschuld oder unsere Armut gerecht untereinander aufteilen ;-)
Grüße aus Berlin
Christoph S.
PS: ich kann mich ja mit einzelnenAussagen irren, aber ich berufe mich auf meine Erfahrungen, die sich von deinen unterscheiden können
-
Hallo Christoph
ups. Viel text...
Virtueller Host1 und IP- Adresse: gewöhnliche Seite.
Virtueller Host2 virtueller Server.
ups, wo nimmst du plötzlich den Unterschied von "virtuellem host" unjd "virtuellem Server" her?Ich meine hier das selbe. "host" und "server" sind, wenn die beiden virtuell sind, gar nicht so verschieden :)
Wenn jetzt der Name des virtuelle Hosts2 nicht im Internet aufgelöst wird, sondern nur im Intranet, dann sollte es gehen.
Stimmt teilweise, hat aber mit der Namensauflösung wenig bis nix zu tun. Die Crux ist dabei, daß _jeder_ unbekannte Adresßname auf das DocumentRoot des ersten virtuellen hosts umgeleitet wird, sofern der lokale Apache aktiv ist, aber keine Intenretverbindung besteht.äh? Moment:
Wir haben der Rechner A, B und C im lokalen Netz und den Server S
S hat IP 192.168.1.1A fragt S mit IP-Adresse und bekommt die Standardseite.
B fragt S mit hostname und bekommt prompt die dem virtuellem host zugewiesene Seite.
C fragt nach Google und bekommt was? - Nichts. Weil er schon www.google.de nicht in einen IP auflösen kann.Und zwar unabhängig davon, ob du auch noch einen lokalen DHCP/DNS-Server laufen hast. Also: wenn du _einen_ Namen http://fastix.mydomain.de als virtuellen host definiert hast, greift auch http://fastix.korthaus.de oder http://www.korthaus.net auf dasselbe DocumentRoot-Verzeichnis zu (offline bzw. am lokalen Apache), sofern es dafür nicht einen eigenen virtuellen Host gibt
Aber nur, wenn der DNS (oder der DNS seines Proxys, oder dessen host- datei) die IP auflöst.
Also: ich bin nicht im netz. Mache mir eine hosts- Datei mit fastix.local und der ip von fastix.dyndns.org.
Jetzt schicke ich den Request los. Und bekäme die Seite, wenn da nicht
Order deny, allow
deny from all
allow from 192.168.0.*wäre. Deshalb schrieb ich ja: "musst"
Nein. Das stimmt so zumindest bei Apache 2.0.x nicht mehr, der will
bei mir keine Platzhalter (Sternchen) haben, sondern die volle IP. Besser wäre hier bei "allow" ohnehin die Angabe des "full qualified" Hostname anstelle einer IP. Das können durchaus auch mehrere Hostnamen
sein. Die Rolle der "hosts"-Datei darf man dabei keinesfalls (egal, auf welchem System) unterschätzen!Es geht natürlich auch mit einer host-Liste.
Die Auflösung der IP- Adressen des Requests findest aber auf dem Server statt. Wenn der die hosts nicht kennt...Umgedreht wäre es allerdings (theoretisch) möglich, bei Angabe der Hostnamen den DNS zu manipulieren um dem Apache als erlaubter host
gegenüberzutreten. Mit der IP, und auch die kann als Liste an allow übergeben werden schließ man sowas aus. Bliebe noch IP-Spoofing zum Einbruch ins Intranet.Das sind aus meiner Sicht gleich mehrere Fehler.
- "aus dem Internet zugreifen" auf eine _private_ IP (oder ein privates Netz) sollte eh nicht in dieser Form möglich sein. Ausnahmen könnten die Regel bestätigenDa ist so einer :)
Hat aber für den Apache _so_gut_wie_ keinen Einfluß auf dessen virtuelle hosts
Doch ich kann im Intranet: http://servername.local auflösen
- ein DNS-Server ist nur dann von Bedeutung (auch im Intranet), wenn der Apache ihn kennt.
Oder der Client, also der Rechner, auf dem der Browser ausgeführt wird, oder falls es noch einen Proxy gibt der.... Der Apache braucht den eigentlich blos, um den Hostname zur IP des Clients zu ermitteln. Fürs Logging, oder nach Deiner Methode: zur Ermittlung der erlaubten Rechner.
Für noch mehr gibts dann noch den Proxy
öhm, nö. Laß das mal (vorerst) weg, hat mit der Nachfrage nur mittelbar zu tunJepp. Wir wollen niemanden erschlagen.
Firewalls mit Masquerading
Genau sowas habe ich aber am laufen. Ist bei einem Netz sinnvoll. Und es ist eigentlich was ganz einfaches. Ein DSL- Router. Mein "Webserver" hat die IP 192.168.10.10 (Der liefert übrigens immer error 400 - index.html :))
Den fastix.dyndns.org kriegts Du also nur über Masquerrading. Und nur Port 80 oder 21. Das wars dann...
ohje. Eine "Firewall mit Masquerading" ist zwar prinzipiell auch innerhalb eines Intranet (oder LAN) möglich, macht da aber in der Regel keinen Sinn.
An den anderen Tagen auch nicht unbedingt - Ausnahmen.... :)
Wo sie unbedingt installiert sein sollte, ist der "host", der für ein ganzes Intranet die "öffentlichen" requests durchrouten soll. Was soll eine Firewall im Intranet ? Da _muß_ man doch voraussetzen können, daß keiner der angeschlossenen Rechner Unsinn anstellt ...
Oh, oh! 90 Prozent aller Hacks laufen Netzintern, habe ich mal gelesen. Trotzdem macht das kaum Sinn. Aber: was ist eine DMZ (Demilitarisierte Zone? Eben. Ein Netzbereich, der sowohl gegen das Internet als auch gegen das Intranet gesichert ist. Womit? Firewall... Warum? 90% aller H....
Portmapping
Jetzt sind wir hundert Kilometer von der Frage weg.
und den unschuldig verarmten fastix
hehe, den unschuldig armen CS gibts auch - sollen wir jetzt unsere Unschuld oder unsere Armut gerecht untereinander aufteilen ;-)fastix
-
hi fastx,
ups. Viel text...
naja, wenn die Problemstellung interessant ist ... ;-)
wo nimmst du plötzlich den Unterschied von "virtuellem host" unjd "virtuellem Server" her?
Ich meine hier das selbe. "host" und "server" sind, wenn die beiden virtuell sind, gar nicht so verschieden :)Doch. Aber das hat dann wieder mit dem Apache nix zu tun
Stimmt teilweise, hat aber mit der Namensauflösung wenig bis nix zu tun. Die Crux ist dabei, daß _jeder_ unbekannte Adresßname auf das DocumentRoot des ersten virtuellen hosts umgeleitet wird, sofern der lokale Apache aktiv ist, aber keine Intenretverbindung besteht.
äh? Moment:
Wir haben der Rechner A, B und C im lokalen Netz und den Server S
S hat IP 192.168.1.1ok, ich spiele mit
A fragt S mit IP-Adresse und bekommt die Standardseite.
ok, er bekommt die "Startseite", die auf S in dessen DocumentRoot liegt
B fragt S mit hostname und bekommt prompt die dem virtuellem host zugewiesene Seite.
auch ok, weil A,B und C ja durchgeroutet werden müßten, um eine Internetseite zu sehen
C fragt nach Google und bekommt was? - Nichts. Weil er schon www.google.de nicht in einen IP auflösen kann.
Dann stimmt das Routing nicht und/oder C hat (in diesem Fall wichtig) S nicht als Proxy eingetragen, und vor allem fährt C hier grade Windows und S tut das auch *g*. Ist S offline und hat den lokalen Apache laufen, bekommt C ach mit dem Aufruf von http://www.google.de die Startseite des _ersten_ virtuellen host auf S zu sehen - wenn er denn S als Proxy drinstehen hat
Glaubs mir, ich habe so eine Konstruktion grade hier am Laufen: S fährt WinXP, ist online (sonst könnte ich nicht schreiben), A,B und C hängen hintendran, B fährt SuSE LINUX, B fährt Debian, D fährt Win95. Alle werden geroutet - gebe ich jetzt bei C "http://www.schnauss.de" ein, kriege ich die Startseite der Adresse im Internet, die ich seit zwei Jahren haben möchte, die mir aber nicht gehört. Schalte ich S offline und habe damit _nur noch_ den lokalen Apache laufen, bekomme ich auf C mit exakt derelben Adreßangabe das zu sehen, was auf S als virtualHost für "http://www.christoph-schnauss.de" eingetragen ist - und wenn C grade nach http://msn.de (grrrrr) verlangen sollte, bekommt er ebenfalls den virtualHost "http://www.christoph-schnauss.de" vom Server S zu sehen.
Was bei deiner Erläuterung ein bissel durcheinanderging, ist das Problem, daß ein "Server" sehr wohl Adressen durchrouten kann und dabei den lokalen Apache gewissermaßen "übergeht".
_dieses_ Problem, daß man einen lokalen Webserver nicht mit einem virtualHost versehen sollte, der eine im Internet (NIC) aufgelöste Adresse verwendet, sollten wir eventuell weiter diskutieren.wenn du _einen_ Namen [...] als virtuellen host definiert hast, greift auch [...] auf dasselbe DocumentRoot-Verzeichnis zu
Aber nur, wenn der DNS (oder der DNS seines Proxys, oder dessen host- datei) die IP auflöst.Nein.
Also: ich bin nicht im netz. Mache mir eine hosts- Datei mit fastix.local und der ip von fastix.dyndns.org.
Och nö ;-) Jetzt gehste auf dyndns, und das ist ja nun wirklich ein _absolut_ anderes (sehr problematisches) Thema
Die Auflösung der IP- Adressen des Requests findest aber auf dem Server statt. Wenn der die hosts nicht kennt...
Naja, ein "Server" sollte schon miondestens eine "hosts" haben. Aber selbst wenn er keine hat: dem lokalen Apache ist das wurscht. Der schiebt trotzdem "unbekannte" requests an http://www.request.sonstwas auf das DocumentRoot des ersten definierten virtualHost
- "aus dem Internet zugreifen" auf eine _private_ IP (oder ein privates Netz) sollte eh nicht in dieser Form möglich sein. Ausnahmen könnten die Regel bestätigen
http://fastix.dyndns.org/
Da ist so einer :)äühm ,wie meinst du das jetzt?
ich kann im Intranet: http://servername.local auflösen
Kann ich auch ;-) Und alles, was im Intranet so eine Anfrage stellt, landet auf dem DocumentRoot meines ersten virtualHost - das ist bei mir http://www.schnauss.local
Oh, oh! 90 Prozent aller Hacks laufen Netzintern
das ist mir neu ;-)
Grüße aus Berlin
Christoph S.
-
Ist S offline und hat den lokalen Apache laufen, bekommt C ach mit dem Aufruf von http://www.google.de die Startseite des _ersten_ virtuellen host auf S zu sehen - wenn er denn S als Proxy drinstehen hat
Da ist es, das steht es: Dein Apache (oder was auch immer) macht den _Proxy_! Das ist dann wieder ein ein ganz anderer Fall.
Ich erinnere mal ganz sacht an die Ursprungsfrage meiner Antwort:
Andreas Korthaus schrieb:
Kann man das eigentlcih auch für interne LAN-IPs begrenzen? Also kann ich einen virtuellen Host für alle Requests an 192.168.0.1 haben? Oder anders herum für alle Requests von 192.169.x.x?
Er sucht also die Möglichkeit, einen virtuellen host so einzurichten, dass nur vom lokalen Netz darauf zugeriffen werden kann.
Und da ist der Fall doch klar...
1. Server einrichten, der originale Host ist praktisch leer.
2. virtuellen host einrichten
3. diesen so einschränken, daß nur aus dem lokalem Netz zugegriffen werden kann (deny for all, allow mit IP - meinetwegen Liste!)Ein Proxy verkompliziert das ganze nur unnötig. Schon mal weil irgendjemand aus der Ferne (dem Internet) einen Request an den Proxy erzeugt, den dieser brav unter Angabe seiner eigenen IP weitergibt und die der Apache dann brav beantwortet, und zwar mit der Seite, die er eigentlich _nicht_ liefern soll. Ich erinnere daran, dass bei HTTP via Proxy der Proxyserver die Namensauflösung übernimmt. Also müsste auch auf dem Proxy die allow,deny - Direktive gesetzt werden und mit deny for all und allow for [lokalnetz] die Zugriffe erlaubt werden.
Aber wie gesagt: Bei der Internetverbindungsfreigabe braucht er den Proxy gar nicht. Die spielt "vollwertiger Router". Es sei denn, man installiert dann noch eine Firewall @:o
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++http://fastix.dyndns.org/
Da ist so einer :)äühm ,wie meinst du das jetzt?
Nun ja: Der Rechner hat nur eine einzige IP. Diese ist 192.168.10.10 und ist trotzdem aus dem Internet via Router und Masquerading erreichbar, weil die Firewall die Zugriffe auf den eigenen Port 80 (Internetseite) auf den Rechner 192.168.10.10, ebenfalls Port 80, weitergibt.
Dort hockt dann der Indianer und merkt: "http://fastix.dyndns.org/" hies der Request: also: virtuellen Host dafür vortäuschen und einen "Error 400" senden :)
Dort könnte aber auch ein stellvertretender Indianer (Proxy) hocken und die Zugriffe abhängig von Request an einen 3., 4., 5. Rechner weitergeben: Auf diese Art und Weise kann man ein ganzes Rechenzentrum mit einer einzigen festen internet-gültigen IP betreiben. Zumindest Webhoster spielen. Wenn denn jemand für mich die beiden vorgeschrieben DNS- Server betreiben würde. Also braucht es zwei.
-
Moin Jungs,
kaum fängt man an zu arbeiten, schon wird's lustig und interessant...
- diesen so einschränken, daß nur aus dem lokalem Netz zugegriffen werden kann (deny for all, allow mit IP - meinetwegen Liste!)
es ging ja da auch ums Sternchen, und dieses wird ja IMHO bald deprecated. Das mit der Netzwerkadresse und Netzmaske glaube ich aber bleibt auch in Zukunft (z.B. deny from all, allow from 192.168.1.0/255.255.255.0) So würde es dann gehen. Bei einem Eindringling mit einer gespooften Adresse hat man da aber vermutlich auch wieder ein Problem...
Das mit den Allow-Namen eintragen hat ja auch einen Nachteil. Der Server muss dann für jede Anfrage einen Reverse-Lookup tätigen, was den Traffic erhöht, denn die Anfrage kommt ja prinzipiell mit der IP an.Dort könnte aber auch ein stellvertretender Indianer (Proxy) hocken und die Zugriffe abhängig von Request an einen 3., 4., 5. Rechner weitergeben: Auf diese Art und Weise kann man ein ganzes Rechenzentrum mit einer einzigen festen internet-gültigen IP betreiben. Zumindest Webhoster spielen. Wenn denn jemand für mich die beiden vorgeschrieben DNS- Server betreiben würde. Also braucht es zwei.
->Probier's einmal mit den ganzen Gratis-DNS-Anbietern (mydns.com usw.) oder habe ich Dich nicht richtig verstanden? Bei mir laufen jedenfalls ein halbes Dutzend Domains hinter _einer_ festen IP (auf einem LAMP), die MXe gehen auf einen anderen Server, hinter der _gleichen_ festen IP (ein WNT4/Exchange). Die HW-Firewall erledigt die Verteil-Arbeit. Und einen funktionierenden DNS-Server intern braucht es, zum Auflösen.
Gruss und guten Start in die Woche
claudio
-
kaum fängt man an zu arbeiten, schon wird's lustig und interessant...
Headhunter?
*lachend*
fastix
-
Hi fastix,
nene, kein Headhunter, musste heute nur 'was abliefern, was ich über die _Fest_ tage (=viele Feste ;-) ) verpennt 'hab. Das Los eines Selbständigen: Wenn man einmal keine Disziplin hat, straft einen das Leben damit, mitten in der Nacht aufstehen zu müssen. Ausserdem: was macht ein Headhunter für IT so frueh am Morgen? Ist ja noch lange kein IT-Mensch wach ausser ein paar Wahnsinnigen wie mir, und die haben ja Arbeit, sonst wären sie ja nicht wach, oder? Den Headhunter, der mich um 6 Uhr in der Früh aus dem Bett klingelt, dem knall' ich das Telefon um die Ohren!
Gruesse
claudio
-
-
-
-
-
Hallo Christoph!
@Andreas: und das ist sehr schwer zu beantworten (können wir eventuell in diesem Thread noch vertiefen)
Der Thread war schon sehr interessant zu lesen, wenn ich dann dabei bin den Apache einzureichten werde ich sicher auf Dein Angebot zurückkommen ;-)
Du willst also Anfragen aus dem Intranet auf einen bestimmten virtuellen host schicken?
@fastix: Ich hab Andreas nicht in diesem Sinn verstanden, aber seis drum:was ist der Unterschied? Meinst Du den Unterschied zwischen "ein LAN" und Intranet welches wohl aus mehreren LANs bestehen kann? Ich habe die IPs 192.168.x.x verwendet um klarzumachen dass es nur private, netzinterne Requests sind, Ein Intranet mit mehreren LANs werde ich erstmal nicht haben(können), aber der Unterschied in der Umsetzung interessiert nich durchaus. Wie sieht das ganzr aus wenn man einen internen DNS Server verwendet, dann könnte ich doch auch über mehrere LANs den Zugriff einfach über eine eigenen, "künstlichen" Domainnamen wie www.korthaus.lokal regeln, oder?
Viele Grüße
Andreas
-
-
Hi fastix,
allow from 192.168.0.*
'*' als wildcard war meines Wissens noch nie erlaubt. Was jedoch erlaubt ist, das ist eine "partial IP address", gemäß http://httpd.apache.org/docs/mod/mod_access.html#allow.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
-
-
Hi Andreas,
Kann man das eigentlcih auch für interne LAN-IPs begrenzen?
Also kann ich einen virtuellen Host für alle Requests an 192.168.0.1 haben?ich halte diese beiden Aussagen für so verschieden (die erste bezieht sich anscheinend auf den Client, die zweite auf den Server), daß ich ihre Verknüpfung durch "also" nicht verstehe.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.-
Hallo Michael!
Kann man das eigentlcih auch für interne LAN-IPs begrenzen?
Also kann ich einen virtuellen Host für alle Requests an 192.168.0.1 haben?ich halte diese beiden Aussagen für so verschieden
nein, die erste ist nur zu unscharf ;-)
(die erste bezieht sich anscheinend auf den Client,
Kann man so verstehen, muß man aber nicht, ich meinte das ganz allgemein ob man auf einen speziellen virtuellen Host nur Requests aus demselben LAN wie dem Web-Server leitet. Ich habe noch nie einen eigene DNS-Server verwendet, das Posting von fastix hat aber anhand des Domainnamen den Virtuellen Host zugewiesen, daher interessiert es mich wie man das sonst machen kann - halt für den Spezialfall das nur das eigene LAN drauf zugreifen kann, am besten dass es automatisch passiert und kein 403 kommt wenn man es von extern versucht(der Server ist sowohl im eigenen LAN als Intranet-Server tätig, als auch als Extranet-Server von außen. Und ja, ich weiß das das nicht gut ist, aber leider habe ich nur eine Maschine für Serveraufgaben zur Verfügung.).
die zweite auf den Server)
Beides sollte sich auf den Server beziehen, sorry wegen der ungenauen Formulierung.
daß ich ihre Verknüpfung durch "also" nicht verstehe.
hast Du das wirklich nict verstanden oder willtest Du mich auf meinen Fehler aufmerksam machen? ;-)
Viele Grüße
Andreas-
Hi Andreas,
Kann man das eigentlcih auch für interne LAN-IPs begrenzen?
(die erste bezieht sich anscheinend auf den Client,
Kann man so verstehen, muß man aber nicht, ich meinte das ganz allgemein ob man auf einen speziellen virtuellen Host nur Requests aus demselben LAN wie dem Web-Server leitet.Dazu müßtest Du aber erst mal definieren, was Du unter "demselben LAN" verstehst (und dabei beziehst Du Dich auf eine Menge von durch IP-Adressen beschriebenen Clients, die einen bestimmten Server ansprechen - also nicht auf die IP-Adresse des Servers).
Das Netz innerhalb einer Firma kann beispielsweise aus einer größeren Anzahl von Subnetzen bestehen, die voneinander durch Firewalls getrennt sind ... ist das dann noch "dasselbe LAN" oder nicht?Und diese Definition müßtest Du dann innerhalb von HTTP umsetzen - was nicht so ganz einfach sein dürfte, weil HTTP die Information der Source-IP-Adresse gar nicht in einem seiner Header überträgt.
Was Du tun kannst, das ist, einen Virtual Host mit Server Authentication zu versehen - dabei kannst Du Räume von IP-Adressen als "legal" bzw. "illegal" klassifizieren (allow/deny from <ip-range>).
"Legale" IP-Adressen werden durchgelassen, "illegale" fallen in den 403-Error-Handler - und der kann diese Requests dann irgendwohin umleiten ... beispielsweise in einen anderen Virtual Host. Reicht das für Deine Anforderung?Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
-
-
-
-