PHP - Zezwolenie na wejście na stronę po Local IP.

Question

Hej Wam,

Chciałbym stworzyć mini stronę oraz ograniczyć dostęp do niej tylko dla poszczególnych adresów IP.

Pytam bo jak sprawdzam adres IP to mam 2 różne:

IPv4 - Który jest ten sam dla wszystkich urządzeń podpiętych pod jedno WIFI

Local IP - Które jest dla każdego urządzenia inne.

Czy mogę w takim razie opisać to w ten sposób, że będę nadawać dostępy po Local IP? Jest to możliwe?

Answer 1

Jeżeli strona ma działać dla wszystkich w sieci lokalnej to jak dla mnie nie musisz nawet robić żadnego ograniczenia na IP, wystarczy że nie wypuścisz serwera www na świat. Jeśli muszą być jakieś ograniczenia to może być to IP, ale rozumiem wtedy że w sieci o której mowa wszystkie adresy ustawiane są statycznie bądź przypisane są do danych klientów - jeśli nie i nadaje je DHCP to mogą się zmieniać, przez co ograniczenie na konkretne IP straciłoby sens.

PS mam nadzieję, że serwer na którym ma działać strona stoi w tej sieci lokalnej, inaczej zrobienie tego po adresach IP będzie trudniejsze/niemożliwe.

Comments

Rozumiem, myślałem że to nie jest takie hop siup, uświadomiłeś mnie tylko że mam zerową wiedzę na temat sieci. :) Myślałem że jest unikalne IP, które jest zawsze przypisane tylko do jednego urządzenia. Takie ID powiedzmy.

Generalnie myślę że będzie to odpowiednie bo każdy z tych pracowników ma takie same procedury, więc to już wyklucza chęć choćby podglądania u innych ich procedur.

Procedury biurowe są inne, ale żeby do nich się dostać już potrzebne jest zalogowanie się.

Niepowołane osoby nie powinny również dostać się do tej listy procedur, bo nie będą przecież znać adresu strony.

---

Ja też jakiejś super wiedzy nie mam, ale gdyby tak było to byłoby zbyt prosto :D Pomyśl sobie że nikt nie obszedłby bana w żadnym miejscu sieci, bo byłby on na unikalne, niezmienne id. Jeśli uważasz że takie "zabezpieczenie" czy też utrudnienie jest w tej sytuacji wystarczające to ok, nie będę się spierał bo nie znam całej sytuacji. Ważne abyś wiedział, że można będzie je łatwo obchodzić.

---

Hehe :D Znaczy moja wizja bardziej wyglądała tak, że jeśli nie chcemy to IP się nie zmienia i wtedy to byłoby idealne pod moje potrzeby. Natomiast nic nie stoi na przeszkodzie aby je zmienić.

W każdym razie dzięki wielkie za kolejną pomoc z Twojej strony, lecę działać :D

---

To teraz też tak jest. Jeśli nie chcesz to IP się nie zmieni. Użytkownik może chcieć, ale jeśli w sieci są tylko urządzenia kontrolowane przez kogoś, może to ograniczyć uprawnieniami i zablokować podłączanie innych - wtedy zmienić nie będzie można :p

Powodzenia

---

No i ekstra, to jeszcze lepsze wieści dla mnie. :P

Dzięki wielkie jeszcze raz i temat uważam do zamknięcia. :)

Answer 2

Ograniczenie po IP jest słabe, bo wyjściowe masz jedno (patrząc pod względem sieci WAN) a wiele możliwych dla LAN. Lepiej pod tokena albo zmusić do podania hasła i loginu. Ale to już są sprawy infastruktualne.

Comments

Rozumiem, a pod tokena jakby to działało?

Rozwiązanie którego potrzebuję ma nie wymagać od użytkownika jakiegokolwiek działania. Użytkownik włącza komputer i z automatu uruchamia im się ta strona internetowa.

Dlatego najlepszym rozwiązaniem wydawało mi się zrobić to po IP, ponieważ mam określoną pulę komputerów, z których mogę wydobyć również to Local IP.

---

Jeżeli po LAN ma działać to spoko, ale na WAN nie będzie Ci działało twojego rozwiązanie. Możesz jeszcze po MAC, ale to też da się sfałszować.

Na chama, możesz wygenerować tokeny przez coś i kazać wrzucać do urla np: (choć tu lepiej do request header, nie wiem za bardzo od strony infastruktualnej nie znam się :))

---

Po LAN czyli moje rozwiązanie będzie działało dobrze na przestrzeni powiedzmy jednego budynku gdzie do jednej sieci jest połączonych 10 komputerów.

a WAN w sensie że na komputerach spoza sieci lokalnej moje rozwiązanie nie będzie działało?

Mi to nie przeszkadza bo rozwiązanie ma działać tylko lokalnie. Natomiast odpowiedź dla mnie nie jest jednoznaczna.

Bo mówisz że moje rozwiązanie działałoby lokalnie, ale przecież jeżeli dodałbym do puli dostępowej IP lokalne ze swojego komputera domowego to chyba też powinienem móc się połączyć, czy jak to jest?

---

Jak ustawisz im jeden adres  z puli DHCP to ok. 

Nie, bo będziesz dostawał IP swojego dostawcy, chyba że wejście do WAN to po prostu wyjście na większy WAN węwnetrzny. Nie znam budowy twojej sieci.

Bo mówisz że moje rozwiązanie działałoby lokalnie, ale przecież jeżeli dodałbym do puli dostępowej IP lokalne ze swojego komputera domowego to chyba też powinienem móc się połączyć, czy jak to jest?

Lokalnie się podępniesz, na zewnątrz całkiem inny adres możesz dostać, chyba że sprefarujesz IP i oszukasz routera ;). Lokalnie będzie ok.

 

---

Dziękuję za pomoc, jednakże nie bardzo rozumiałem o czym pisałeś, więc skupiłem się bardziej na pomocy ze strony kolegi wyżej, problem uznaję za rozwiązany. Jeszcze raz dzięki. :)