Доступ к сайту только через тунель

если хостер не даёт править конфиги - то есть два пути:.htaccess(если возможен), править код ( добавить проверку на ip)

Полностью ось настраивается. Ip юзеров динамические (на них полагаться не получится).

тогда хоть поднимай отдельный сервак на другом порту, хоть режь через iptables

режь через iptables

А какое будет правило?

iptables -I INPUT -p tcp --dport 80 -m string --to 70 --algo bm --string 'Host: bla' -j DROP

примерно такое.

а чего ты в итоше хочешь добиться? аутентификации? шифрования? хочешь скрыть факт существования сайта, но оставить его доступным для избранных?

хочешь скрыть факт существования сайта, но оставить его доступным для избранных?

ага

А для избранных что б было с аутентификацией и шифрованием.

тогда тунель действительно неплохой вариант. делай так: запускаешь свой вебсервер забиндженым на 127.0.0.1:8080 (если укажешь что ты там используешь покажу как конкретно настроить, да ты наверное и сам разберешься). дальше на клиенте: ssh -l username -L 127.0.0.1:8080:127.0.0.1:8080 server. в браузере открывать http://127.0.0.1:8080/. теперь все, у кого есть аккаунт на сервере смогут доступиться до сайта. можно ограничивать конкретной группой например.

альтернативно можно просто поднять vpn, с маршрутом только на одну серую сеть. делается так: берешь любую удобную серую сеть, например 10.10.10.252/30, назначаешь 10.10.10.253 на свой lo1. байндишь вебсервер на эту айпишку. поднимаешь впн сервер как угодно, с маршрутом в эту сеть. на клиенте подключаешься по vpn, в браузере используешь эту серую айпишку.

Как уже советовали выше - .htaccess лучший вариант.

Но можно и тунель, чтоб «ну совсем никакого веба там нет» :)

Так, понятно, т.е. сервер будет видеть, что ip у меня 127.0.0.1 И по ip можно блокировать запросы из вне...

.htaccess

Ну а как понять кто хороший - кто плохой?

Поднять тунель не сложно конечно и для себя это довольно удобно иногда, когда лень делать остальное. Но, может что-то недопонимаю, но через тунель ты еще и открываешь доступ по ssh к хосту.

Есть способы получше тогда уж - сам понимаешь.

Есть способы получше тогда уж - сам понимаешь.

предлагай :)

предлагай :)

самый простой способ немного призадуматься

хм..

Сделано.

почти. сервер (вебсервер) откроет listen socket и сделает bind() на конкретный ip, а не на * как по умолчанию. это значит, что сетевой стек ос будет принимать подключения к нему только пришедшие на 127.0.0.1. а такие подключения могут прийти только с локалхоста а не извне. на клиенте программа ssh с такими ключами откроет точно такой же socket, т.е. он будет доступен только локально с машины клиента. подключения к этому своему сокету она будет форвардить на сервер через тунель. вуаля, с точки зрения и клиента и сервера мы запущены на 127.0.0.1, но ведь для них это разные машины :)

но через тунель ты еще и открываешь доступ по ssh к хосту.

можно ведь ForceCommand прописать. но вообще правильно делать vpn конечно.

можно ведь ForceCommand прописать. но вообще правильно делать vpn конечно.

не - надо такой доступный способ, чтобы и лор умел, хотя бы не все, а часть.

Самый простой, ненадежный и дебильный способ скрыть сайт это повесить его на vhost с нересолвящимся именем, а имя это вписать себе в hosts и никому не говорить. Здесь главное не палить это имя, ну и конфиги вебсервера держать в тайне, конечно.
Другой, более кошерный способ, уже описал val-amart.
Ну и обычную аутентификацию средствами вебсервера не забываем.