Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

IIS 10 – Запретить все IP-ограничения

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Шаг 1: Установка роли IP-адресов и ограничений доменов
  4. Шаг 2: Настройка ограничений IP-адресов
  5. Пример настройки ограничений
  6. Шаг 3: Упорядочивание записей
  7. Заключение

Вопрос или проблема

Я пришел из мира Windows 2003 Server, и его версия IIS значительно отличается от IIS 10 на Windows 2016 Server. На сервере 2003 по умолчанию, похоже, все IP-адреса были запрещены. Как мне запретить все IP в IIS 10? У меня есть несколько диапазонов IP, которые я хотел бы разрешить, и я вижу, как их ввести, но как мне запретить все диапазоны IP в IIS 10?

Сначала вам нужно добавить роль сервера Windows из Веб-сервера (IIS) > Веб-сервер > Безопасность > [x] Ограничения IP и доменов. Это добавит функцию Ограничения IP-адресов и доменов в ваш менеджер IIS, и вы сможете добавить необходимые записи разрешения/запрета. См. <ipSecurity>.

Элемент <ipSecurity> определяет список основанных на IP ограничений безопасности в IIS 7 и более поздних версиях. Эти ограничения могут основываться на IP-адресах версии 4, диапазоне IP-адресов версии 4 или DNS-доменном имени.

Стандартная установка IIS не включает сервис роли или функцию Windows для IP-безопасности. Чтобы использовать IP-безопасность в IIS, вам необходимо установить сервис роли или функцию Windows.

В менеджере IIS вы можете создать список записей Разрешить / Запретить. Диапазоны IP-адресов задаются как Classless Inter-Domain Routing (CIDR) подсети с использованием либо сетевой маски, либо нотации CIDR. Лично я предпочитаю использовать последнее. Используется первое совпадение, поэтому вы добавите глобальный запрет в конце.

Этот пример запрещает использование с конкретным IP 198.51.100.5, разрешает остальные в диапазоне 198.51.100.0 - 198.51.100.255 (/24) и запрещает остальные, т.е. 0.0.0.0 - 255.255.255.255 (/0):

Режим    Запрашивающий          Тип записи
=====================================
Запретить    198.51.100.5       Локально
Разрешить   198.51.100.0(24)   Локально
Запретить    0.0.0.0(0)         Локально

Просмотреть упорядоченный список… в обеих панелях Действия и в контекстном меню позволяет упорядочить записи. Неупорядоченный список имеет больше опций (Редактировать параметры функции…), такие как возможность выбора действия запрета (403 Запрещено по умолчанию, 401 Неавторизовано, 404 Не найдено или Прервать, что отказывает в соединении).

Для потомков!

После установки роли в функции IIS Ограничения IP-адресов и доменов нажмите Редактировать параметры функции.

Установите доступ по умолчанию для неопределенных клиентов на ЗАПРЕТ.
Вы можете выбрать, возвращает ли IIS Запрещено, Неавторизовано, Не найдено или Прервать.

Затем добавьте запись Разрешить для конкретных IP.

Ответ или решение

Чтобы ограничить доступ к вашему веб-серверу IIS 10, вы можете настроить ограничения IP-адресов, которые позволят вам запретить все IP-адреса по умолчанию, а затем добавить нужные диапазоны IP-адресов, чтобы разрешить доступ только им.

Шаг 1: Установка роли IP-адресов и ограничений доменов

Сначала вам нужно установить роль в сервере Windows, чтобы активировать функцию ограничения IP-адресов. Для этого выполните следующие шаги:

  1. Откройте "Диспетчер серверов".
  2. Перейдите в раздел "Управление" и выберите "Добавить роли и компоненты".
  3. Выберите сервер, на котором вы хотите установить роль.
  4. В разделе "Роли сервера" выберите "Веб-сервер (IIS)".
  5. Перейдите в раздел "Веб-сервер" → "Безопасность" и установите флажок "Ограничения по IP-адресам и доменам".
  6. Завершите установку.

Шаг 2: Настройка ограничений IP-адресов

После установки роли выполните следующие шаги в IIS Manager:

  1. Откройте IIS Manager.
  2. Выберите нужный веб-сайт из списка "Узлы".
  3. В центре управления найдите "IP Address and Domain Restrictions".
  4. В разделе "Действия" выберите "Изменить параметры функции".
  5. Установите значение по умолчанию для "Неопределённых клиентов" на "Запретить" (Deny). Также вы можете выбрать тип ответа, который вернёт сервер (например, "403 Forbidden").
  6. Добавьте необходимые разрешающие записи IP:
    • Нажмите "Добавить разрешение по IP-адресу" и введите диапазоны IP-адресов, которые вы хотите разрешить, используя обозначение CIDR. Например, для разрешения диапазона 198.51.100.0 - 198.51.100.255 используйте 198.51.100.0/24.
  7. Добавьте Deny запись для конкретного IP-адреса, если это необходимо (например, 198.51.100.5).

Пример настройки ограничений

Режим    Запрашивающий      Тип записи
=======================================
Запретить    198.51.100.5       Локально
Разрешить     198.51.100.0/24    Локально
Запретить     0.0.0.0/0          Локально

Шаг 3: Упорядочивание записей

Важно помнить, что в IIS приоритет записей одинаков. Записи об ограничении IP обрабатываются по порядку, и первое совпадение используется. Поэтому рекомендуется добавлять глобальную запись об отказе в самом конце. Это можно сделать, выбрав "View Ordered List…" в панели действий или в контекстном меню.

Заключение

Подводя итог, в IIS 10 по умолчанию не запрещены все IP-адреса, поэтому вам нужно установить роль и настроить ограничения IP-адресов вручную. После установки вы можете настроить глобальные запреты и конкретные разрешения на уровне IP-адресов, чтобы ограничить доступ только определённых пользователей. Если вы выполните все шаги правильно, ваш веб-сервер будет безопаснее и доступен только определённым IP-адресам.

iis-10 windows-server-2016
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности