Возможно ли добавить дополнительную авторизацию перед доступом к веб-серверу?

Question

[bogich41]

Существует VPN-соединение между двумя OpenWRT роутерами:
Роутер А имеет белый IP-адрес
Роутер B находится в сети, на которой крутится веб-сервер
В сети роутера А настроен доступ к веб-серверу роутера В
Хочу перенаправлением портов открыть доступ к веб-серверу через белый IP-адрес. Я понимаю, что такой бездумный шаг может организовать риски для сервера, поэтому хочу добавить некую "промежуточную" авторизацию, которая на уровне роутера А будет отсеивать все непонятные и незнакомые соединения. Существуют ли инструменты для реализации подобной задумки? Установка дополнительного VPN-клиента не подходит, устройства клиентов будут разные, требуется настроить доступ именно по IP-адресу.

Comments

[bogich41]

Сервер на IIS, настроено https соединение местным сертификатом. Интересует именно ограничение "левого" трафика до сервера

[pfg21]

bogich41, сделай port-knocking :)
если клиент на винде - ping-knocking

Answer 1

[AlexVWill]

Для web сервера на Apache можно сделать авторизацию по паролю...
https://www.digitalocean.com/community/tutorials/h...
Или по сертификату + паролю.
https://stuff-things.net/2015/09/28/configuring-ap...
Доступ по IP не является способом авторизации, а лишь способом ограничения доступа...
Если всеже надо именно ограничение по IP, то это делается указанием нужного IP в конфиге виртуального хостинга. Вот тут https://www.8host.com/blog/sozdanie-intraseti-s-po... примерно похожая задача решается, если я правильно понял задуманное.

Answer 2

[ValdikSS]

Вы можете настроить перенаправление порта, только если запрос пришел с определённого IP-адреса/диапазона.

Answer 3

[Drno]

Доступ надо ограничиваеть уже на веб сервере. тот же nginx или apache поддерживает авторизацию по логину и паролю
На роутере это ограничение сделать никак, он просто пересылает пакеты туда-сюда

Answer 4

[Петровский]

На роутере надо не порты перенаправлять, а устанавливать кэширующий прокси типа nginx или Caddy. На нём можно поднять http-авторизацию. Ненадёжно, да.

Однако желательно уточнить, какого рода приложение вы собираетесь выпускать наружу, и нет ли в нём собственных механизмов такого рода.

Answer 5

[Александр]

Фаервол и белый список адресов. Грубо говоря отдельное правило проброса на каждого клиента, где прописан его src адрес.