search

AdguardTeam / AdGuardHome

Network-wide ads & trackers blocking DNS server
https://adguard.com/adguard-home/overview.html
GNU General Public License v3.0
25.58k stars 1.84k forks source link

[Feature Request] Restrict access to authorization when encryption is enabled #1610

Open Eyeborgs opened 4 years ago

Eyeborgs commented 4 years ago

У меня имеется два локальных IP на сервере один 192.168.9.13 а другой 192.168.9.14 и вот с локального IP 192.168.9.13 идет через роутер который открывает доступ к нему в интернете Шифрования DNS-over-HTTPS и DNS-over-TLS и все работает НО если убрать /dns-query -> https://[IP]:443/ то появляется страница авторизации то есть login и эта на весь интернет что я считаю не очень безопасно и вот я пытался на другой локальный IP (192.168.9.14) сделать страницу авторизации через AdGuardHome.yaml -> bind_host, bind_port и вроде как получилось но тогда сервер DNS-over-HTTPS перестает работать а DNS-over-TLS работает в интернете. И вот что бы я хотел предложить: чтоб была возможность ограничить страницу авторизации(login) а именно сделать возможность поменять на другой IP а все остальное а именно DNS-over-HTTPS и DNS-over-TLS через основной IP который будет работать в интернете.

Версия AGH: v0.101.0

Если эта уже было предложено то извиняюсь за дубликат.

ameshkov commented 4 years ago

Сложновато конечно получается для наших простых настроек.

Вообще при такой относительно сложной конфигурации я бы рекомендовал использовать nginx в качестве прокси и уже в нем настраивать дополнительные правила доступа.

Austrapede commented 4 years ago

In english please, I dont undestand russian :)

ameshkov commented 4 years ago

@Austrapede sorry:)

Well, long story short, @Eyeborgs has some complicated configuration and he'd like to configure AGH to accept DOH on one of the multiple IP addresses he has. I advised to use Nginx as a reverse proxy instead.

ibksturm commented 4 years ago

@Austrapede sorry:)

Well, long story short, @Eyeborgs has some complicated configuration and he'd like to configure AGH to accept DOH on one of the multiple IP addresses he has. I advised to use Nginx as a reverse proxy instead.

@Austrapede nginx make sense :) you could look in my git as a little how to

https://github.com/ibksturm/dnscrypt-switzerland/blob/master/etc/nginx/conf.d/doh.conf

@ameshkov cool i understand it correctly without google translater :) restart learning russian 3 weeks ago after a break of 5 months make sense 👍

Eyeborgs commented 4 years ago

@ameshkov если честно я еще не знаю как работать с nginx и по этому предложил запрос функции. Я надеюсь что в будущем вы сможете это добавить ну или сделать как то по другому чтоб не кто не имел доступ к страницы авторизации из вне если конечно я сам этого не захочу.

ammnt commented 4 years ago

@ameshkov, how about adding a TOTP/ HOTP 2FA? There 's an open API and that will for the most part solve the problems like this. Thank you.

ameshkov commented 4 years ago

@ammnt this should be a separate feature request