Postado por Marco Aurélio em 28 de Maio de 2012 às 6:58pm
Pedro eu queira le dar uma sugestão será que nao teria como colocar um contorle no mk-auth para so consiguir abrir o admin de ip tal os outros da acesso negado
Para adicionar comentários, você deve ser membro de MK-AUTH.
Aproveitando o embalo eu queria pedir ao pedro se tem como faser inclusao de cadastro de bairro cidade tipoporque um instalador vai ao cliente na hora do cadastro ele poem o nome do bairro 9 de abril o outro poem nome de abril ai o cadastro fica todo desigual nome de rua tambem um poem abreviado outro nao ai eu cadastrando os endereços fica facil e outra no cadastro a busca de cep ficou show mais na hora que passamos pelo cadastro e vamos libera o endereço sumil ai temos que po o cep sem traço para que nao de esse erro ai a busca automatica nao funfa
Com uma regra no firewall do mikrotik, o sistema poderia enviar os ips liberados para uma acces-list "IPS_ADMIN" que esta regra utilizaria pra liberar o acesso aos IPs que estariam cadastrados no mk-auth.
Neste caso seria mais fácil fazer no apache o /admin ser em outra porta, para a regra liberar por porta, já que se liberar só po IP, o acesso ao hotsite iria junto...
Aqui uso senha configurada no apache também ".htpasswd", assim nem a tela de login do admin o intrometido vê.
Claro que o mk-auth poderia através do IP que ele já detecta, liberar o acesso ou não... como já mostra o IP no log "xxxxx fez login na area administrativa - IP:yyy.yyy.yyy.yyy - <data> <hora>". Mas vejo dor de cabeça nisso pois quem tem mascaramento errado que não detecta o ip de acesso, etc, etc.. vai ter problemas. Se cometerem algum erro de cadastramento de ip, vai perder o acesso ao admin do mk-auth completamente. E também isso não impediria as TENTATIVAS de acesso vindas de todos os lados.
Pedro Filho disse:
complicado, mais irei pensar em uma forma de fazer no sistema...
Respostas
é só liberar ou bloquear no firewall "iptables" ai vc bloqueia o acesso de fora e liberar o acesso da sua rede.
Nao mais eu queria assim meu ip interno e 172.20.100.50 eu queria que acessasse o admin so por ele
mesma coisa, faz no firewall
complicado, mais irei pensar em uma forma de fazer no sistema...
Aproveitando o embalo eu queria pedir ao pedro se tem como faser inclusao de cadastro de bairro cidade tipoporque um instalador vai ao cliente na hora do cadastro ele poem o nome do bairro 9 de abril o outro poem nome de abril ai o cadastro fica todo desigual nome de rua tambem um poem abreviado outro nao ai eu cadastrando os endereços fica facil e outra no cadastro a busca de cep ficou show mais na hora que passamos pelo cadastro e vamos libera o endereço sumil ai temos que po o cep sem traço para que nao de esse erro ai a busca automatica nao funfa
Com uma regra no firewall do mikrotik, o sistema poderia enviar os ips liberados para uma acces-list "IPS_ADMIN" que esta regra utilizaria pra liberar o acesso aos IPs que estariam cadastrados no mk-auth.
Neste caso seria mais fácil fazer no apache o /admin ser em outra porta, para a regra liberar por porta, já que se liberar só po IP, o acesso ao hotsite iria junto...
Aqui uso senha configurada no apache também ".htpasswd", assim nem a tela de login do admin o intrometido vê.
Claro que o mk-auth poderia através do IP que ele já detecta, liberar o acesso ou não... como já mostra o IP no log "xxxxx fez login na area administrativa - IP:yyy.yyy.yyy.yyy - <data> <hora>". Mas vejo dor de cabeça nisso pois quem tem mascaramento errado que não detecta o ip de acesso, etc, etc.. vai ter problemas. Se cometerem algum erro de cadastramento de ip, vai perder o acesso ao admin do mk-auth completamente. E também isso não impediria as TENTATIVAS de acesso vindas de todos os lados.
Pedro Filho disse:
So colocar uma opção de mudar a porta do admin ja ajuda!!
Pedro Filho disse:
Só isso dá pra fazer manualmente aí no apache se desejar. :)
Rogerio Alves disse:
cria um .htacess
/ip firewall filter
add action=drop chain=forward comment="drop acesso administracao mk-auth" \
content=admin disabled=no dst-address=172.31.255.2 dst-port=80 protocol=\
tcp src-address=!172.20.100.50