Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 4124 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Limit URL by IP address

thefuzz4
So I currently have a few webservers that the virtual server forwards to.  These servers have some rules in place that limit who can view the content to specific IP addresses.  I was wondering if there is a way with the Astaro that I can put these rules into place at that layer instead of allowing those IPs through to those servers.  This is only for a few URLs that I have.  Thanks.


This thread was automatically locked due to age.
  • 0
    Hi

    Idea: with firewall rule or DNAT you can specify the source who can access...
  • 0
    Can you put a URL in as the destination?  I thought about that but didn't know if that would work or not.
  • 0
    You're right, you can't use URLs in a DNAT.

    When you upgrade to V9, there might be a way to do this with an Additional Address, DNATs and Site-Path Routing.  Can you give an example of a restricted URL and one that starts out with the same FQDN but is unrestricted?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hey Bob,

    So if you attempt to go to say mediatomb.thefuzz4.net you will get the 503 telling you that you're not permitted to be here.  But if you go to apt.thefuzz4.net you'll sail right on through smooth as can be.  Thanks.
  • 0
    OK, I think you already can do this in V8.  I haven't tried this, but it should work...

    I assume that you have defined a virtual server for thefuzz4.net on "External (Address)" and that all thefuzz4.net FQDNs resolve to that IP.

    Let's say you have a Network group named MediaTomb with the source IPs of all of your allowed customers.  Put an Additional Address (/32) on the Internal interface named "Access Allowed" using a reserved IP in "Internal (Network)" so you can reach it from inside your network, too.  Now, create a Virtual Server for mediatomb.thefuzz4.net selecting 'Interface: Internal [Access Allowed] (Address)'.

    Change local DNS to resolve mediatomb.thefuzz4.net to the additional IP, and then check to see that it works.  If not, substitute an Additional Address on the External interface using an IP that won't ever be routed to you (RFC1918 or a public IP from a country that won't ever be in contact).

    Next, create a NAT rule: 'MediaTomb -> Web Surfing -> External (Address) : DNAT to Internal [Access Allowed] (Address)'.

    Finally, change your thefuzz4.net Virtual Server to only apt.thefuzz4.net.  I don't think someone not in MediaTomb will get a 503, but they definitely won't get put through.

    Did that work?  Does an an unallowed access just time out?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    It does work,  You get a 403 when you try to go there that tells you that you're forbidden.  I tested this by removing and adding in my IP a few times.  Thank you this is awesome.  Now to get the rest of my sites setup.
  • 0
    Great!  So this works with the Internal interface as I first suggested?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML