LINUX.ORG.RU
решено ФорумAdmin

Как ограничить доступ к сайту для всех стран, кроме одной?

 ,


1

2

Вопрос скорее про выбор ПО, нежели чем про конкретную реализацию. Я что-то подобное видел в nginx, но разве это не только для plus версии? Может тупо через iptables порт закрыть? В общем, интересует опыт тех, кто уже что-то такое делал.

Перемещено hobbit из general


Выдёргиваешь скриптом из RIPE все подсети нужной страны (скрипт легко гуглится, сейчас под рукой нету), результат вливаешь в любой роутер/фаервол/куда надо. Я так телефонию резал для рунет-only, атак из не-рунета безумное количество.

yu-boot ★★★★
()

Делал на уровне приложения. БД – MaxMind’s GeoLite2. Нужно зарегистрироваться чтобы скачать. Вроде там можно как-то обновлять даже эту БД периодически, но я не заморачивался. Есть расширенный платный аналог. Для стран весит в районе 5-6 МБ.

thegoldone
()
Ответ на: комментарий от LongLiveUbuntu

Это мой личный сервак и я вряд ли буду куда-то за пределы РФ выезжать. Учитывая эти детали, можно было бы вообще до одного города сократить.) Но тут уже да, легко переборщить.

u0000
() автор топика
Ответ на: комментарий от Anoxemian

Ага, это из старого анекдота, где изначально загадка была про Робина (с луком и яйцами, но не пирожок), но второй человек, рассказывая загадку дальше, все перепутал. В некоторых вариациях это анекдот из серии про Чапаева.

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)

Я что-то такое делал. Поднял OpenVPN у себя на серваке и пускаю туда только себя. Поскольку я нахожусь в одной стране, фактически доступ к серверу существует только из неё. Пока у меня ключ и пароль не украдут.

apt_install_lrzsz ★★★
()
Ответ на: комментарий от LongLiveUbuntu

Что «тебя так»? Ты даже не знаешь, что за сайт, на кого ориентирован и какие цели преследует, но уже начал вылезать со своим очень важным морализаторским мнением.

agentgoblin
()
Ответ на: комментарий от grem

старого анекдота, где изначально загадка была про Робина (с луком и яйцами, но не пирожок), но второй человек, рассказывая загадку дальше, все перепутал.

Мне почему-то поручик Ржевский вспомнился…

hobbit ★★★★★
()
Ответ на: комментарий от BadUser

Не все.
Да и вообще, логика «Меня заблочил Вася, поэтому я заблочу ни в чём ни повинного Петю, поскольку заблочить Васю у меня руки коротки» очень, очень уныла. Это не про случай ТСа, у него мы действительно не знаем, что за ситуация. Это вообще про логику «все блочат».

hobbit ★★★★★
()

Вот это должно помочь: https://fornex.com/ru/help/settings-nginx-geoip/

https://www.howtoforge.com/nginx-how-to-block-visitors-by-country-with-the-geoip-module-debian-ubuntu/amp/

Тебе только default нужно сделать no и разрешить только для нужной страны.

Не проверял, да и сайт не nginx.org, но думаю там все верно написано.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от u0000

Осталось только докеризовать.

Кстати, а какое в твоём случае преимущество даёт докеризация перед тем, чтобы установить nginx прямо на VDSку?

Да, вопрос личный и отчасти офтопичный, мотивы могут быть разные, не ответишь — не обижусь. Просто как-то все с этим докером носятся, я и думаю, может, что-то упускаю? :)

Да, например ответ «у меня на этом сервере кроме сайта ещё дофига всего» звучал бы разумно.

hobbit ★★★★★
()
Ответ на: комментарий от hobbit

какое в твоём случае преимущество даёт докеризация перед тем, чтобы установить nginx прямо на VDSку?

Пальцем в небо: если проксируемые приложения у него крутятся в контейнерах, то проще не трахаться с DNS-ом/прибитем статических IP-адресов контейнерам, а положить сам nginx в контейнер

Просто как-то все с этим докером носятся, я и думаю, может, что-то упускаю?

Я тоже до последнего думал что это говно лютое, но ничо, втянулся. Правда нужны две вещи:

1) понимать какую выгоду от докеризации ты получишь(нужный уровень изоляция контейнеров друг от друга, простота развертывания, быстрый деплой новых версий или откат на предыдущие и т.д.);
2) учитывать, что настройка сети в docker(да и в кубере тоже, чо уж там) местами прибита гвоздями и можно делать либо как там задумано авторами, либо через жопу

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 3)
Ответ на: комментарий от hobbit

Ну, во-первых, там нет вольюмов. Всё кладётся в папку внутрь докер-композ проекта. Помимо некстклауда и гита, там ещё крутится бложег который никто не читает, jabber, и ещё куча всяких мелочей. Ну и каждый раз мне это настраивать лень. Можно было бы написать плейбук, но мне больше понравился подход, когда я просто запаковываю всю папку docker-compose проекта и увожу куда-нибудь ещё, потом быстренько распаковываю в другом месте и всё работает как работало. Плюс бекапы так делать удобно. Ту же папочку просто скидываю на флешку раз в неделю.

Казалось бы, а оно мине надо? Но время неспокойное, а сервак арендованный. Так что вот так вот.

С докером все носятся просто потому что в некоторых моментах это удобнее, чем обычно. На самом деле я тоже сторонник развёртывания на хосте, если речь идёт о личном хозяйстве. Но сервак у меня уже несколько лет как сдох, а на новый денег нет. Так что мотаюсь по съёмным.)

u0000
() автор топика