Как разрешить в nginx доступ к сайту только для определённых IP по https?

Question

[fdroid]

Здравствуйте. Дано:
Сервер 1, на нём на домене https://example.com крутится Nextcloud
Сервер 2, географический удалённый от Сервера 1, на нём крутится на домене https://office.example.com документ-сервер Onlyoffice.

Требуется сделать так, чтобы к документ-серверу мог подключаться и использовать только NC с Сервера 1, а попытки подключиться с других хостов должны пресекаться. По умолчанию, документ-сервер открыт всем желающим. Пока не нашёл нативный способ ограничения доступа, решил воспользоваться средствами веб-сервера, нагуглил про allow deny, но не тут-то было - что-то лыжи не едут - NC с Сервера 1 при явном разрешенном его IP подключиться всё равно не может. Уж не из-за https ли это? И если да, то как это обойти?Если я правильно понимаю, строки

allow 123.45.67.89;#здесь IP Сервера 1, которому нужно дать доступ
deny all;

в блоке http nginx.conf должны релизовывать задуманное, но не работает - NC не может подключиться.

Comments

[Lynn «Кофеман»]

Нативный способ это простой файрволл

[fdroid]

Алексей Тен, попробовал на Сервере 2:

sudo ufw enable
sudo ufw allow proto tcp from 123.45.67.89 to any port 80
sudo ufw allow proto tcp from 123.45.67.89 to any port 443

NC не подключается. Вообще странно, с учётом того, что на роутере, за которым находится Сервер 2, кроме 80 и 443 других портов не открыто, т.е. для подключения NC к документ-серверу этого должно хватать.

[Dimonchik]

смотри что deny
да и вообще может ли он подключиться-то

[fdroid]

dimonchik2013, подключиться может. Добавляю правки в конфиг nginx - не подключается. Добавляю правила ufw - то же самое. Чудеса какие-то.

[Lynn «Кофеман»]

Так у вас сервер2 за NAT-ом что ли?

[fdroid]

Алексей Тен, белый IP 987.65.54.321, статика, на роутере проброшены порты 80 и 443 на Сервер 2, других открытых портов нет, А-запись субдомена office.example.com указывает на белый IP. При заходе через браузер на office.example.com весёлая надпись Document server is running! и он действительно running, т.к. если в настройках NC Сервера 1 указать в качестве адреса документ-сервера office.example.com - всё работает. Но вот только ничто не мешает мой документ-сервер использовать и другим, т.к. никакой авторизации нет (или не нашёл пока), поэтому и хочу ограничить доступ на уровне nginx или, как вы подсказали, файрволла. Но! Даже правило:
sudo ufw allow from 123.45.67.89 #т.е. дать полный доступ для IP сервера NC
не срабатывает, NC не может подключиться к документ-серверу. После выключения файрволла, всё чудесным образом начинает работать. Что же я упускаю?

PS Кстати, если через ssh на Сервере 1 выполнить wget office.example.com, то index.html бодро скачивается.
PPS Хм... Даже и при включенном ufw wget отрабатывает. Значит, доступ действительно есть. Но почему тогда документы не открываются?.

[Александр]

https://helpcenter.onlyoffice.com/gettingstarted/c...
И тебе IP security settings и даже вон чо есть

The Portal Access subsection of the Security settings allows you to provide users with secure and convenient ways to access the portal.

[fdroid]

Александр, да, это хорошо, да только вот в Community версии, похоже, никакого портала в принципе не предусмотрено. По крайней мере, я даже намёка не нашёл как в него войти.

[Lynn «Кофеман»]

sanrega, белый IP на роутере?
Проверьте ещё раз какой IP видит nginx (переменная $remote_addr).

[fdroid]

Алексей Тен, спасибо за участие, но нагуглил, всё таки, нативный способ ограничения доступа Можно ли разрешить доступ к документ-серверу Onlyoffice только с конкретного Nextcloud/Owncloud?

Answer 1

[Александр T]

А пробовали через .htaccess?
И указать те IP которые необходимо пускать на сайт. Только минус что будет и http резать