htaccess: pw abfrage nur bei bestimmten ip's

[ShadowFire]

hallo!
leider habe ich bei google keine antwort auf meine frage gefunden - evtl benutze ich auch nicht die richtigen schlagwörter....

ich habe im lokalen netzwerk einen webserver, den ich auch gerne von außen erreichen möchte. die absicherung wollte ich mit htaccess machen.
auf der anderen seite bin ich leider gottes etwas faul und möchte mich in meinem lokalen netz nicht anmelden.

kann ich htaccess dazu bringen, nur dann eine passwortabfrage zu stellen, wenn die ip adresse != 192.168.0.xxx ist? und wenn ja, wie?

es sollen sich also nur leute anmelden, die von außen auf den webserver zugreifen wollen.

 

[Chakky]

http://wwwuser.gwdg.de/~mreiman1/wwwserver/htaccess-gwdg.html

allow from ist deine gesuchte einstellung

 

[ShadowFire]

habs auch grad gefunden - dazu kommt noch die satisfy einstellung...
dankeschön!

*close*

 

[Elderan]

Hallo,
zur Sicherheit:
Solch ein Schutz wäre natürlich gegen IP-Spoofing anfällig, einfach Packete so manipulieren, dass diese angeblich von 192.168.0.x stammen.

Schutz hiergegen wäre es, am Router Packete zu verwerfen, die über die Internet-Schnittstelle reinkommen, aber angeben, von innen zu kommen, also als Absender 192.168.0.x haben.

Das nur am Rande

 

[Chakky]

Original von Elderan
Hallo,
zur Sicherheit:
Solch ein Schutz wäre natürlich gegen IP-Spoofing anfällig, einfach Packete so manipulieren, dass diese angeblich von 192.168.0.x stammen.

Schutz hiergegen wäre es, am Router Packete zu verwerfen, die über die Internet-Schnittstelle reinkommen, aber angeben, von innen zu kommen, also als Absender 192.168.0.x haben.

Das nur am Rande

aber wenn ich dem webserver sage ich komme von 192.168.0.x dann schickt der doch auch die antwort dahin ->sprich ich sehe nix von den files oder habe ich jetzt ein denkfehler`?

 

[keksinat0r]

exakt

 

[Chakky]

ok und was bringt mir das jetz? mit den ip spoofing?

 

[Elderan]

Hallo,
wenn du bestimmte adminstative Funktionen auf deinem Webserver hast, sagen wir mal phpMyAdmin oder andere (Admin)-Control-Center, dann könnte jmd. über dieses IP-Spoofing Funktionen ausführen, wozu er lieber keine Rechte haben sollte.
z.B. bei phpMyAdmin könnte er deine Datenbanken löschen o.ä., ohne sich je angemeldet zu haben.
Musst einfach überprüfen, was ein Angreifer für einen Schaden anrichten könnte, wenn er von innen kommt.

Allerdings ist IP Spoofing relativ kompliziert und nix für das Script Kiddie vor dem elterlichem PC, aber nicht unmöglich:
Remote blind TCP/IP spoofing


Deswegen sollte man eigentlich immer Packete verwerfen, die auf der Schnittstellen fürs externe Netz (Internet) eintreffen, aber vorgeben von innen zu kommen, verwerfen.