Skip to content

Как ограничить доступ по IP-адресам

Иногда возникает необходимость ограничить доступ к каналам определенным IP адресам. Или наоборот, разрешать доступ к каналу только определенному списку IP. Эту задачу можно решить с помощью бэкенда, собранного с помощью конструктора бэкендов.

С помощью конфигуратора можно настроить очень гибкие схемы авторизации. На этой странице приведем примеры как заблокировать определенные IP-адреса, или наоборот, пустить мимо системы авторизации. Это может быть полезно для систем мониторинга.

Все правила, описанные далее, могут быть применены к потоку или глобально.

stream example_stream {
  input fake://fake;
  on_play auth://blacklist;
}

Где blacklist — имя одного из настроенных бэкендов. Конечно же, вы можете создать более одного авторизационного правила.

Заблокировать

Вся настройка происходит через /etc/flussonic/flussonic.conf.

auth_backend blacklist {
  deny ip 1.1.1.1;
  deny ip 2.2.2.2;
  deny ip 10.10/16;
  allow default;
}

Это правило запрещает просмотр с двух определенных адресов (1.1.1.1, 2.2.2.2) и целой подсети (10.10.0.0/16).

Строка allow default; означает, что по умолчанию нужно всем разрешать просмотр, кроме адресов, перечисленных в deny. Подробнее об опции

Разрешить

auth_backend whitelist {
  allow ip 192.168.0/24;
  allow ip 10.10/16;
  allow ip 8.8.8.8;
}

Это правило разрешает просмотр только из указанных сетей и конкретного IP-адреса. Остальные соединения будут блокироваться.

auth_backend multi {
  allow ip 192.168.0/24;
  backend http://examplehost/stalker_portal/server/api/chk_flussonic_tmp_link.php;
}

Это правило разрешает просмотр из локальной сети, а остальные обращения через IPTV Middleware.