Zugriff auf phpMyAdmin von "außen" verhindern

[HoshiSH]

Hallo,
ich möchte gerne eine Website auf meiner DS414 hosten.
Der Zugriff von außen (Internet) erfolgt bereits wunderbar über den Port 80. Leider ist auch der Zugriff auf meinen phpMyAdmin-Ordner möglich.
Besteht die Möglichkeit diese Zugriff zu verhindern, sodass ein Zugriff aus dem Internet nicht mehr erfolgen kann ?
Ein Zugriff "intern" sollte weiterhin möglich sein, sonst kann man daran ja nicht arbeiten.
Danke.

Grüße

 

[fpo4711]

Hallo.

das Zauberwort heißt .htaccess und ist auch schon hier beschrieben worden.

Gruß Frank

 

[HoshiSH]

Danke, das funktioniert grundsätzlich auch.
Ich habe nun folgende htaccess angelegt:

Order Deny,Allow
Deny from all
Allow from 192.168.123

Die IP sind die ersten 3 Stellen meiner internen IP, alle Rechner hängen im selben IP-Bereich.

Leider kann ich intern nicht auf phpmyadmin zugreifen.
Mache ich noch was falsch ?

 

[fpo4711]

Ansich alles richtig und funktioniert auch bei mir in dieser Form. Du verwendest nicht zufällig eine Beta-Software.

Gruß Frank

 

[HoshiSH]

Nein, DSM 4.3 und dann phpmyadmin direkt von der seite runtergeladen, nicht als paket installiert. die jetzt installierte ist aktueller.

Du kannst aber intern aus die DB zugreifen, oder geht es gar nicht mehr ?

 

[fpo4711]

Mit der Allow-Klausel bestimmst Du von wo aus noch zugegriffen werden kann. Das kann auch nur eine IP sein. In meinem Fall ein lokales Netz in der folgenden Form 192.168.10.0/24 somit würde folgende .htaccess Zugriff aus dem lokalen Subnetz gewähren.

Order Deny,Allow
Deny from all
Allow from 192.168.10

Die .htaccess betrifft aber grundsätzlich nur phpMyAdmin. Also die Weboberfläche zur Pflege von MySQL-Datenbanken. Den Zugriff auf die Datenbanken regelst Du über die Benutzerrechte. Hier kann auch eine Einschränkung erfolgen. Dies betrifft dann aber eben den direkten Zugriff auf den MySQL-Server über Port 3306. Der Webserver greift ja lokal zu und für den ist auch die .htaccess

Gruß Frank

 

[HoshiSH]

Ich glaube ich stelle mich da etwas dumm an

Wenn ich dich korrekt verstehe, dann habe ich einen Raum von 192.168.10.0 - 192.168.10.24
Wenn das korrekt ist, wie kann ich diesen Raum denn bestimmen bzw. verändern.

Meine Diskstation hat die IP-Adressen: 192.168.123.21 und 22
Mein Rechner hat die IP 192.168.123.25

 

[fpo4711]

Hallo,

die Angabe /24 ist eine spezielle Schreibweise (Glaube das heißt CICR oder so ähnlich) und beschreibt die Anzahl der Bits. Die /24 entspricht einer Subnetzmaske von 255.255.255.0

Deiner DS zwei IP's aus dem gleichen Subnetz zu geben ist auch keine gute Idee. Wenn Du bei Allow from also 192.168.123 einträgst, dann sollte dein gesamtes lokales Netz Zugriff haben sofern Du eine Maske von 255.255.255.0 hast. Der Vergleich für Allow ist Zeichenweise von links nach rechts. Also

Allow from 192.168.123

sollte völlig korrekt sein. Greift denn dein .htaccess überhaupt. Hast Du vielleicht die http.conf-user angepaßt?


Gruß Frank

 

[Tommes]

Ich war mal neugierig und hab nach CICR gesucht, da ich diese IP-Schreibweise bis Dato auch noch nicht wirklich verstanden hatte. Es heißt aber wohl CIDR

Tommes

 

[HoshiSH]

Ich habe mich mal wieder total dumm angestellt. Kommt irgendwie in letzter Zeit öfter vor

Also...

Mit den Infos in der .htaccess funktioniert es nun wie folgt.

1. Zugriff auf den Ordner "phpmyadmin" funktioniert der Zugriff über die Domain nicht mehr
2. Über die interne IP bzw. DISKSTATION geht der Zugriff wunderbar
3.

Deiner DS zwei IP's aus dem gleichen Subnetz zu geben ist auch keine gute Idee.

Der Grund warum ich da so gemacht habe ist, ich nutze LinkAggregation - da geht es wohl nicht anders. Ist ja nur ein Privathaushalt und von daher nicht ganz so wild

Vielen Dank für die Hilfe. Nun kann ich mit ruhigem Gewissen eine Website einrichten und muss keine Angst haben das man die DB über phpmyadmin hacken kann.

 

[fpo4711]

Der Grund warum ich da so gemacht habe ist, ich nutze LinkAggregation - da geht es wohl nicht anders. Ist ja nur ein Privathaushalt und von daher nicht ganz so wild

Da hast Du wohl etwas falsch verstanden mit der Link Agregation. Gerade dort hast Du nur eine IP für deinen Bond0. Und Link Agragation ist nicht einfach zwei Kabel an einen Switch stöpseln. Wenn Du zwei IP's auf der gleichen Machine mit zwei IP's aus dem selben Subnetz nimmst, kommen diverse Dienste/Protokolle ins wanken da unter zwei IP's der gleiche Name vorhanden ist. In jedem Fall wird der Computerbrowser wahnsinnig

Gruß Frank

 

[HoshiSH]

Jo, jetzt erst einmal eingelesen.
Ich dachte es wäre einfacher.
Gut, dann werde ich mir erst einmal einen neuen Switch kaufen müssen.
Das 2. Kabel ist vorerst raus. Mal schauen wie sich der Speed dann verändert.
Danke.
Dann ist ja alles in diesem Threat geklärt.