Rulez un Apache 2.4 pe Debian Bullseye pe o rețea LAN în spatele unui router DSL cu adrese IPv4 și IPv6 dinamice. Serverul meu web funcționează ca un punct final TLS și servește o varietate de pagini. Unele dintre aceste pagini trebuie să fie accesibile pe internetul larg, în timp ce alte pagini ar trebui să fie disponibile numai pe LAN-ul meu local. Accesul de pe internet funcționează, dar mă chinui să fac ca paginile numai LAN să funcționeze. Am următoarele în configurația mea Apache:
<Location /localonlystuff>
Require local
Require ip 192.168.0.0/24
</Location>
Acest lucru permite accesul de la gazda locală (OK), de la toate gazdele de pe segmentul meu LAN folosind IPv4 (rețea privată 192.168.0.0/24) și interzice orice acces de pe internet. Cu toate acestea, nu permite accesul de la gazde pe segmentul meu LAN folosind IPv6. Deoarece aici nu este permis nici un interval IPv6, Apache le interzice accesul.
În teorie, aș putea pur și simplu să adaug Necesită ip 1234:5678:9012:3456::/64
la fișierul prezentat mai sus. Cu toate acestea, intervalul meu IPv6 este atribuit dinamic de ISP-ul meu și se modifică la fiecare 24 de ore, așa că o intrare statică nu va fi corectă pentru mult timp. M-am gândit să permit fe80::
, dar rezoluția DNS din rețeaua mea indică prefixele furnizate de ISP, nu adresele locale de legătură.
Am citit documentația despre mod_authz_host și am văzut secțiunea despre Solicită gazdă
. Acest lucru ar realiza probabil ceea ce vreau (routerul meu setează un domeniu local cu căutare inversă), dar mă tem că această metodă va fi supusă unor lucruri precum otrăvirea DNS Cache sau atacuri de falsificare, permițând persoane din afară să intre în rețeaua mea. Aș prefera o soluție locală pe serverul meu, unde spun echivalentul Necesită interfața lan0
pentru a permite toți clienții din intervalele de rețea configurate pe lan0
la momentul solicitării - similar modului în care puteți face Apache să asculte toate adresele IP de pe o anumită interfață. Cu toate acestea, nu am găsit nicio documentație în acest sens.
Există o modalitate de a realiza această funcționalitate (permiteți doar gazdele din rețeaua locală IPv6), poate cu alte mijloace decât mod_authn_host?
De asemenea, sunt deschis și la sugestii, altele decât să mă bazez pe autentificare. Mă pot încurca pe scară largă cu configurația Apache-ului meu, dar cu greu pot face nicio modificare a configurației routerului meu. Vă rugăm să luați în considerare, de asemenea, că am un singur virus SSL care rulează un certificat Let's Encrypt.