IP-Adressen beschränken

[Germanius]

Seit der 3.0.4 gibt es ja die Möglichkeit die Nutzung von IP-Adressen einzuschränken, allerdings versteh ich die Funktionsweise in ISPC momentan noch nicht so ganz.
Man kann unter System > Server IP-Adressen eine neue IP hinzufügen und diese auch an einen Kunden binden. Allerdings kann der Kunde auch immer noch das * als IP wählen.
Kann man irgendwo auch eine IP mehreren Kunden zuweisen und das auch so, dass diese nur die IP auswählen können und nicht auch noch das *?

[Till]

Die Funktion dient zur Beschränkung der IP Adressen, sie dient dazu dass niemand die SSL IP eines anderen Webs verwenden kann. * ist ja eine Wildcard und keine IP.

Zitat:

Kann man irgendwo auch eine IP mehreren Kunden zuweisen und das auch so, dass diese nur die IP auswählen können und nicht auch noch das *?

Nein. Du kannst es ja als feature request posten.

[Germanius]

Grund meiner Frage war, dass wenn man z.B. eine IP eingerichtet hat, der Kunde dann zwischen dem * und der IP wählen kann. Bei mir gabs damals jedoch immer Probleme, wenn es verschiedene Webs gab, die unterschiedlich mal das * und mal die IP gewählt haben. Deshalb konnte ich denen nie die Freiheit geben Seiten selber zu erstellen.

[Till]

Das Problem gibt es ja jetzt nicht mehr, da Du die IP einem Kunden zuweisen kannst.

Wenn der Kunde kein SSL hat, würde ich ihm garkeine IP zuweisen. Denn alle nicht SSL vhosts können problemlos auf auf * stehen und müssen dazu einfach nur auf die selbe IP verweisen.

[Germanius]

Ich verstehe...
Und was würde passieren, wenn einer von vielen Webs, der keine eigene IP hat, also nur das *, SSL bei sich aktiviert?
Gibt es dann Probleme bei dem Web oder bei den anderen Webs, die auch das * als IP haben?

[Till]

Da sollte an sich nichts weiter passieren, denn solange alle Webs die gleiche IP oder eben * haben, dient die Domain bzw. Aliasdomain als Selektor für Apache. Das problem mit * und IP Mix ist ja nur, dass IP immer "stärker" als eine Wildcard ist und somit die Requests der Wildcard Hosts zu sich rüber zieht.

[Germanius]

Hab das gerad mal ausprobiert. web1 web2 und web3 haben jeweils das * als IP. Nun habe ich bei web2 SSL aktiviert und ein Zertifikat erstellt. SNI ist ebenfalls auf dem Server aktiviert.
web2 ist über https erreichbar. web1 und web3 ist SSL deaktiviert, allerdings wird man, wenn man diese versucht über https zu erreichen, automatisch auf web2 geleitet.
Wie kann man das verhindern?

[Germanius]

Vllt. macht es in dem Zusammenhang auch Sinn SSL in die Client Limits mit einzubauen. Dann stellt sich die Frage gar nicht, ob der Client da irgendwie rumfummeln kann, wenn er den Tab gar nicht sieht, weil es in den Client Limits nicht aktiviert wurde.

[Till]

Zitat:

Wie kann man das verhindern?

Hast Du denn den DEfault SSL vhost der Linux Distribution aktiviert, der verhindert das normalerweise indem er alle SSL Requests für nicht einerichtete Webs einfängt. Unter Debian und Ubuntu geht das mit:

a2enmod default-ssl
/etc/init.d/apache2 restart

Zitat:

Vllt. macht es in dem Zusammenhang auch Sinn SSL in die Client Limits mit einzubauen. Dann stellt sich die Frage gar nicht, ob der Client da irgendwie rumfummeln kann, wenn er den Tab gar nicht sieht, weil es in den Client Limits nicht aktiviert wurde.

Kannst Du ja mal als feature request posten.