Разрешенный список IP-адресов

Политики безопасности часто требуют, чтобы доступ к порталу имели только пользователи из определенной сети, в то время как подключения для пользователей из других сетей должны быть запрещены. Яркий пример — когда портал должен быть доступен только с офисных компьютеров или через офисный VPN-сервер.

Для реализации этого сценария Документерра предлагает функцию Разрешённый список IP-адресов. Она позволяет указать определенный IP-адрес или диапазон IP-адресов, с которых авторы могут входить в систему. Эта настройка не влияент на Авторизованных читателей и анонимных пользователей.

Документерра работает с IPv4, IPv6 адресами и диапазонами используя CIDR нотацию.

Эта функция доступна в аддоне Корпоративная безопасность для Расширенного и Профессионального планов.

Включение разрешённых IP-адресов

Для того чтобы настроить список разрешённых IP-адресов сделайте следующее:

  1. Перейдите в Настройки БезопасностьРазрешенный список IP-адресов.
  2. Выберите опицию Разрешить только определенные IP-адреса.
  3. В текстовом поле ниже укажите нужный IP-адрес или диапазон IP-адресов.
    Разрешённый список IP адресов.
    Чтобы указать несколько адресов или диапазонов, записывайте каждый из них с новой строки.
  4. Выберите Режим работы.
  5. Сохраните изменения.

Готово. Теперь авторы, чей IP-адрес отличается от указанного или находится вне заданного диапазона, при попытке входа в систему или доступа к ресурсам для авторов увидят сообщение об ошибке об отсутствии прав доступа.

Разрешённый список IP-адресов также применяется к API: при попытке сделать API-запрос с неразрешенного IP-адреса пользователь получит ответ со статусом 403.

Режим работы

Режим работы списка разрешённых IP-адресов определяет поведение системы в случаях, когда пользователь подключается через промежуточные серверы, такие как прокси, балансировщики нагрузки или CDN. В таких случаях к запросу добавляется заголовок X-Forwarded-For (XFF), который содержит список IP-адресов: исходный IP-адрес пользователя и адреса всех промежуточных серверов, через которые прошёл запрос. 

На следующей схеме показано как формируется заголовок X-Forwarded-For:
Схема формирования XFF заголовка.

Вы можете выбрать один из следующих режимов:

  • Проверять все. Проверяет все IP адреса — и начальный IP адрес и все промежуточные IP адреса, указанные в заголовке X-Forwarded-For. Если хотя бы один IP адрес не соответствует указанным правилам, то соединение будет заблокировано. Этот режим рекомендован при использовании CDN и публичных прокси.
  • Доверять прокси. Проверяется только IP адрес соединения. Информация в заголовке X-Forwarded-For игнорируется. Этот режим рекомендован при использовании доверенного VPN и частных прокси.

При прямом доступе к порталу проверяется только IP адрес соединения.