Not logged in. · Lost password · Register
Forum: Non-English Discussion German discussion RSS
Dokuwiki: per IP Ban Manager oder .htaccess, IP Adressbereich einschränken.
Avatar
MarkT #1
Member for 3 months · 51 posts
Group memberships: Members
Show profile · Link to this post
Subject: Dokuwiki: per IP Ban Manager oder .htaccess, IP Adressbereich einschränken.
Vorab wegen mehrerer Nachfragen. Die Methode dient der Einschränkung des Zugriffs auf das DokuWiki per IP Ban Plugin, sofern die verwendeten Webserver, wie z.B. portable Webserver, keine klassischen und bewährten Methoden zur Zugriffseinschränkung für IP Bereiche per .htaccess unterstützen.

Da ich nun ein DokuWiki habe was mich erfreut, bin ich am überlegen ob sich das nicht zusätzlich gegen ungefragte Besucher ein wenig ab sichern lässt in dem man in der .htaccess Datei des Webservers auf dem das DokuWiki läuft, nicht den zulässigen Adressbereich beschränkt auf:
  • die eigene IP 127.0.0.1
  • oder den eigenen lokalen IP Bereich wie z.B. 192.168.x.x

Im Moment ist das erst einmal nur laut gedacht, da ich da keine Erfahrung mit habe. Mir ist auch nicht klar ob das vlt das Dokuwiki irgend wie vlt. behindert in dem vlt. eines der folgenden Dinge mit behindert wird:
  • DokuWiki Updatefunktion
  • Installationsfunktion oder Updatefunktion von Templates der Plugins

Ich habe ein wenig die Hoffnung das in etwa der folgende Eintrag obiges erhofftes bewirkt aber nicht von obigen unerhofften:

.htaccess-Datei

# Datei zum Regeln von IP-Bereichen
Order deny,allow
# keine Ahnung was das Internet für einen IP Bereich haben kann

# Gewöhnlicher Firmen IP Bereich
Deny from 172
# Gewöhnlicher Home IP Bereich
Deny from 192
# evtl. als IP des eigenen Rechners möglich
Allow from localhost

Nachtrag:
Das folgende sieht auch ganz gut aus:

Deny from all
Allow from 192.168

Link zum Thema:
  • https://wiki.selfhtml.org/wiki/Webserver/htaccess/Zugriffskontrolle#Besucher_von_verschiedenen_IP-Adressen_unterschiedlich_behandeln
This post was edited 6 times, last on 2020-02-16, 13:46 by MarkT.
Avatar
LMS23 #2
Member since Feb 2014 · 179 posts · Location: Bayern, Deutschland
Group memberships: Members
Show profile · Link to this post
Wieso willst du das machen?
Ich meine das von Außen wer hinkommen würde müsste ja erstmal ein Forward von außen aufm Router / Firewall eingerichtet werden.
Avatar
MarkT #3
Member for 3 months · 51 posts
Group memberships: Members
Show profile · Link to this post
Quote by LMS23:
Wieso willst du das machen?
Ich meine das von Außen wer hinkommen würde müsste ja erstmal ein Forward von außen aufm Router / Firewall eingerichtet werden.
Eine einfach zu erreichende weitere Schicht an Sicherheit, ist doch nicht schlecht. Im betrachteten Fall:
  • ein Webserver der durch ein paar Einträge, keine Anfragen aus Bereichen beantwortet, aus denen keine kommen dürften

Dann stehen die Daten der Entwicklungsabteilung, der Personalabteilung oder sonstewas trotzdem nicht frei im Internet, auch wenn:
  • der Firmwareentwickler des Routers einen schlechten Tag hatte
  • oder der für den Router und die Firewall zuständige Admin mal einen schlechten Tag hatte
  • oder, oder, oder

Anmerkung:
  • Wie ich gesehen habe, kann man das wohl möglich auch mit dem "IP Banning Plugin" erreichen.
  • Das Plugin habe ich installiert. Kann aber bisher keine Stelle finden wo die nun zu erwartenden Menüpunkte des Plugins zu finden sind.

Auszug aus "IP Banning Plugin" - Beschreibung:
Download
Download and install the plugin using the Extension Manager. Refer to Plugins on how to install plugins manually.

Usage
Once installed, a new Admin menu option is available, where bans can be created or removed. Access can be banned for single IP addresses or whole ranges. Ranges can be given in CIDR notation like 10.0.0.0/8 or using wildcard patterns like 192.168.1.*. IPv4 and IPv6 are supported.
This post was edited on 2020-01-20, 10:04 by MarkT.
Avatar
LMS23 #4
Member since Feb 2014 · 179 posts · Location: Bayern, Deutschland
Group memberships: Members
Show profile · Link to this post
Quote by MarkT on 2020-01-20, 09:40:
Quote by LMS23:
Wieso willst du das machen?
Ich meine das von Außen wer hinkommen würde müsste ja erstmal ein Forward von außen aufm Router / Firewall eingerichtet werden.
Eine einfach zu erreichende weitere Schicht an Sicherheit, ist doch nicht schlecht. Im betrachteten Fall:
  • ein Webserver der durch ein paar Einträge, keine Anfragen aus Bereichen beantwortet, aus denen keine kommen dürften

Dann stehen die Daten der Entwicklungsabteilung, der Personalabteilung oder sonstewas trotzdem nicht frei im Internet, auch wenn:
  • der Firmwareentwickler des Routers einen schlechten Tag hatte
  • oder der für den Router und die Firewall zuständige Admin mal einen schlechten Tag hatte
  • oder, oder, oder

Wenn der Firewaller/Router nen schlechten Tag hatte is es im internen netz und somit auch in dem Netzbereich ;)

Also ich versteh was du meinst, kannst du auch machen und spricht nichts dagegen. Aber is halt in vielen fällen vergebene liebesmüh ;)
Avatar
MarkT #5
Member for 3 months · 51 posts
Group memberships: Members
Show profile · Link to this post
Quote by LMS23 on 2020-01-21, 19:04:
Wenn der Firewaller/Router nen schlechten Tag hatte is es im internen netz und somit auch in dem Netzbereich ;)
Also ich versteh was du meinst, kannst du auch machen und spricht nichts dagegen. Aber is halt in vielen fällen vergebene liebesmüh ;)
Es gibt zumindest zum Sperren einzelner IPs als auch zum Sperren von IP Bereichen folgende Erweiterung:
IP Ban Manager https://www.dokuwiki.org/plugin:ipban

Alllerdings gibt es wohl reichlich IP Adressbereiche. Unter anderem die folgenden: https://de.wikipedia.org/wiki/IP-Adresse#Besondere_IP-Adre… Ob und wie man die Angabe der zu sperrenden IPs umdrehen kann habe ich noch nicht heraus gefunden. Also sozusagen das man angeben kann von welchen IPs oder welche IP Bereiche Anfragen beantwortet werden. Also bei nicht im Internet stehenden DokuWikis z.B. von folgenden:
  • 127.0.0.1
  • oder 192.168.*
  • oder 172.*
  • oder 127.0.0.1 und 192.168.* und 172.*
  • sofern notwendig, Dokuwiki.org für Softwareaktualisierungsfragen
This post was edited on 2020-01-31, 15:04 by MarkT.
Avatar
cziehr #6
Member since Jan 2011 · 685 posts · Location: 10119 Berlin
Group memberships: Members
Show profile · Link to this post
In der Konfiguration des Webservers kannst Du festlegen, auf welche IP-Bereiche er reagiert. Das ist wahrscheinlich auch sicherer als das per Wiki-Plugin zu lösen, denn so kommt man von extern gar nicht bis zum Wiki.
Avatar
MarkT #7
Member for 3 months · 51 posts
Group memberships: Members
Show profile · Link to this post
Quote by cziehr on 2020-02-01, 20:53:
In der Konfiguration des Webservers kannst Du festlegen, auf welche IP-Bereiche er reagiert. Das ist wahrscheinlich auch sicherer als das per Wiki-Plugin zu lösen, denn so kommt man von extern gar nicht bis zum Wiki.
* Da hast du sicher Recht, das eine Konfigurierung über die .htaccess Datei zu bevorzugen ist, da nicht nur recht einfach konfigurierbar, sondern auch über viele Jahre erprobt und getestet.
Wenn man jedoch für sein Dokuwiki keinen portablen mini Apache oder ähnlich mit einer .htaccess Datei zu Verfügung hat und aus diesem Grunde eine halbgare Notvariante verwendet, in der man auf jedem Linux Rechner eine cli-php installiert unnd das Wiki über localhost auf ruft, dann kann man als Plan B, den IP Ban Manger verwenden und als zu sperrende Bereiche z.B. folgendes ein tragen:

Sperren nicht benötigter lokaler IPv4 Bereiche:
10.*
172.*
192.*

Sperren nicht benötigter IPv6 Bereiche:
2001::/16 was zwar ein üblicher aber eben nur ein Teilbereich ist.
::0 bzw. 0:0:0:0:0:0:0:0 ???
::2/0 bzw. 0:0:0:0:0:0:0:2/0 ???

::/0 ,sperrt allerdings augenscheinlich auch localhost, was bei IPv6 wohl 0:0:0:0:0:0:0:1 ist.

Eleganter wäre allerdings wenn man sein persönliches Dokuwiki, welches im Beispiel nur per localhost zugreifbar sein soll, für folgende Bereiche sperren kann, da obige Schreibweise zwar gewöhnlich zu erwartende IP Bereiche, aber jedoch nicht alle adresstechnisch möglichen und im betrachteten Fall unerwünschten IP Bereiche sperrt:
  • Für IPv4, alles unterhalb und oberhalb von 127.0.0.1 (ist die IPv4 localhost Adresse)
  • Für IPv6, alles oberhalb und unterhalb von 0:0:0:0:0:0:0:1 (ist wohl die IPv6 localhost Adresse)

Kennt da wer eine passende Schreibweise ?
This post was edited 7 times, last on 2020-02-18, 18:03 by MarkT.
Close Smaller – Larger + Reply to this post:
Verification code: VeriCode Please enter the word from the image into the text field below. (Type the letters only, lower case is okay.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Special characters:
Go to forum
Imprint
This board is powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2015 by Yves Goergen
Current time: 2020-04-04, 11:57:36 (UTC +02:00)