Оградить локальный сервер от интернета.

Bydlokoder · 01.12.2011, 12:09

Поставил я на один из домашних компьютеров связку из Apache, MySQL и PHP с экспериментальной и познавательной целью. Сервер крутится под Windows XP. Работа его меня устраивает, но беспокоят аспекты безопасности компьютера с сервером на борту. Этот же компьютер подключен к интернету и раздает его другим домашним компьютерам по сети. Решил проверить, не виден ли сервер из интернета. Включил в настройках браузера на другой машине прокси, забил в адресную строку IP клиентской машины и в браузере открылась тестовая веб-страница располагающаяся в папке главного хоста... Посмотрел лог-файлы, оказалось, мой тестовый сайт (из одной страницы index.html) посетила уже туева хуча непонятно кого, из Китая, Эквадора, Мозамбика и прочих левых стран, походу боты не самого лучшего свойства из интернета заходили.

Меня такое положение дел не устроило, стал принимать меры по изоляции сервера от интернета. Создал файл .htaccess, в котором запретил посетителям из интернета просматривать сайты на локальном сервере, оставив его доступным для локальной сети. Помогло слабо, страничка из интернета не открывается, но сервак все равно отвечает на запросы, что меня напрягает естественно.

Тогда я взялся за сетевой экран KIS, к которому раньше вообще не прикасался, разве только выставлял параметры безопасности для сетей (публичные, локальные, доверенные). Порывшись в интернете попытался настроить правила для программ. Открыл настройки сетевого экрана, зашел в закладку "Правила фильтрации", нашел там Apache HTTP Server и добавив к имеющимся уже трем правилам "Any network activity" еще одно такое же и установил в нем действие "Заблокировать" для адреса подсети со статусом "Публичные сети" (подключение к интернету у меня именно с этим статусом). После этого при попытке подключится по своему IP через прокси или анонимайзер браузер стал писать что-то типа такого "Сервер сбросил подключение и т.д. и т.п.". Тестовая страница из интернета не открывается, из локальной сети ее видно нормально.

Вопрос - закрыл ли я сервер от доступа извне? Или все мною сделанное ерунда и злые хацкеры будут бродить по моему компьютеру как по собственному дому?

Long Cat · 01.12.2011, 12:12

Настройте апачу доступ так, чтобы он воспринимал подключения только от вашей подсети. Настраивается у него в httpd.conf

Bydlokoder · 01.12.2011, 13:02

А какой директивой и в каком месте httpd.conf можно так сделать? Разве я не то же самое делал, написав в .htaccess следующее:

Цитата:

#Order Deny,Allow
#Deny from all
#Allow from local.
#Allow from 127.0.0.1, 192.168.0.2, 192.168.0.3

?

Long Cat · 01.12.2011, 13:05

То же самое, но не совсем. .htaccess считается не совсем надежным.

Bydlokoder · 01.12.2011, 13:25

Понятно, буду досконально разбираться с httpd.conf.

А как насчет сетевого экрана KIS? Бесполезная затея?

Long Cat · 01.12.2011, 13:27

Полезная, эшелонированная защита получается.

Bydlokoder · 01.12.2011, 13:42

Тогда применю и то и другое. Пошел читать доки по директивам файла конфигурации

Спасибо.

Hirurg · 01.12.2011, 17:10

поднять апатч только на внутреннем интерфейсе
поднять файрвол (тот же KIS)
сетевой экран КИС отличная вещь
.htaccess и httpd.conf
в общем....все это было сказано выше

я как понимаю с глобала вам сайт не нужен?

Bydlokoder · 01.12.2011, 18:28

Да, только из локальной сети.

01.12.2011, 12:09	#1 (permalink)
Bydlokoder Member Регистрация: 06.05.2011 Сообщений: 3,357 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 12455	Оградить локальный сервер от интернета. Поставил я на один из домашних компьютеров связку из Apache, MySQL и PHP с экспериментальной и познавательной целью. Сервер крутится под Windows XP. Работа его меня устраивает, но беспокоят аспекты безопасности компьютера с сервером на борту. Этот же компьютер подключен к интернету и раздает его другим домашним компьютерам по сети. Решил проверить, не виден ли сервер из интернета. Включил в настройках браузера на другой машине прокси, забил в адресную строку IP клиентской машины и в браузере открылась тестовая веб-страница располагающаяся в папке главного хоста... Посмотрел лог-файлы, оказалось, мой тестовый сайт (из одной страницы index.html) посетила уже туева хуча непонятно кого, из Китая, Эквадора, Мозамбика и прочих левых стран, походу боты не самого лучшего свойства из интернета заходили. Меня такое положение дел не устроило, стал принимать меры по изоляции сервера от интернета. Создал файл .htaccess, в котором запретил посетителям из интернета просматривать сайты на локальном сервере, оставив его доступным для локальной сети. Помогло слабо, страничка из интернета не открывается, но сервак все равно отвечает на запросы, что меня напрягает естественно. Тогда я взялся за сетевой экран KIS, к которому раньше вообще не прикасался, разве только выставлял параметры безопасности для сетей (публичные, локальные, доверенные). Порывшись в интернете попытался настроить правила для программ. Открыл настройки сетевого экрана, зашел в закладку "Правила фильтрации", нашел там Apache HTTP Server и добавив к имеющимся уже трем правилам "Any network activity" еще одно такое же и установил в нем действие "Заблокировать" для адреса подсети со статусом "Публичные сети" (подключение к интернету у меня именно с этим статусом). После этого при попытке подключится по своему IP через прокси или анонимайзер браузер стал писать что-то типа такого "Сервер сбросил подключение и т.д. и т.п.". Тестовая страница из интернета не открывается, из локальной сети ее видно нормально. Вопрос - закрыл ли я сервер от доступа извне? Или все мною сделанное ерунда и злые хацкеры будут бродить по моему компьютеру как по собственному дому?

01.12.2011, 12:09
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	На форуме создавались аналогичные по содержанию темы, ознакомьтесь с ними Локальный диск требует форматирования Локальный диск F, проблема

01.12.2011, 12:12	#2 (permalink)
Long Cat Banned Регистрация: 01.09.2009 Сообщений: 4,396 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2544	Настройте апачу доступ так, чтобы он воспринимал подключения только от вашей подсети. Настраивается у него в httpd.conf

01.12.2011, 13:05	#4 (permalink)
Long Cat Banned Регистрация: 01.09.2009 Сообщений: 4,396 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2544	То же самое, но не совсем. .htaccess считается не совсем надежным.

01.12.2011, 13:25	#5 (permalink)
Bydlokoder Member Регистрация: 06.05.2011 Сообщений: 3,357 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 12455	Понятно, буду досконально разбираться с httpd.conf. А как насчет сетевого экрана KIS? Бесполезная затея?

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

01.12.2011, 13:27	#6 (permalink)
Long Cat Banned Регистрация: 01.09.2009 Сообщений: 4,396 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2544	Полезная, эшелонированная защита получается.

01.12.2011, 13:42	#7 (permalink)
Bydlokoder Member Регистрация: 06.05.2011 Сообщений: 3,357 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 12455	Тогда применю и то и другое. Пошел читать доки по директивам файла конфигурации Спасибо.

01.12.2011, 17:10	#8 (permalink)
Hirurg Системный администратор Регистрация: 28.08.2010 Сообщений: 2,101 Записей в дневнике: 1 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2814	поднять апатч только на внутреннем интерфейсе поднять файрвол (тот же KIS) сетевой экран КИС отличная вещь .htaccess и httpd.conf в общем....все это было сказано выше я как понимаю с глобала вам сайт не нужен?

01.12.2011, 18:28	#9 (permalink)
Bydlokoder Member Регистрация: 06.05.2011 Сообщений: 3,357 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 12455	Да, только из локальной сети.