Akceptowanie adresów IP z sieci lokalnej

Cześć,
piszę funkcję polegającą na możliwości zgłaszania problemów i potrzebuję zrobić tak, by formularz poprzez który zgłasza się problem był dostępny tylko z IP sieci lokalnej, dlaczego? Dlatego, że:

1. Mój serwer ma "wyjście na świat", z którego panel dostępny jest z zewnątrz i musi tak pozostać, więc nie mogę go zamknąć.
2. Funkcjonalność ta jest połączana z panelem, do którego mają dostęp inni (co muszą mieć), ale nie wszyscy mogą mieć, zwykła osoba, która potrzebuje zgłosić jakiś problem, ma to zrobić przez otwarty dla każdego (oczywiście z wewnątrz) formularz, a osoby przyjmujące problem i przekazują go dalej, do listy zgłoszeń będą mieć dostęp po zalogowaniu się do panelu (logiczne).

I teraz, aby jakimś cudem czy zwykłym przypadkiem, albo z premedytacją, ktoś z zewnątrz nie mógł wejść na otwarty formularz i "spamić" nieprawdziwymi zgłoszeniami, bądź co gorzej bot'ować potrzebuję zrobić coś w stylu zapory. Jakoże każdy komputer w sieci lokalnej ma swój adres IP w sposób dość uporządkowany, wydaje mi się, że najlepszym rozwiązaniem byłoby zrobić unikalny filtrator adresów. Wiadomo, że początek każdego adresu to np. 192.168... chciałbym, aby wszystkie adresy, które się tak zaczynają miały dostęp do formularza.

Można by też to zrobić poprzez samego explode().

<?php
list($first, $two) = explode(".", $_SERVER['REMOTE_ADDR']);
if($first == 192 AND $two == 168){
#Dopuszczamy dostęp
}
else{
#Odmawiamy dostępu
}
?>

choć wydaje mi się to zbyt naciągany sposób na wykonanie tego, chyba że się mylę, to mnie poprawcie.
Ma ktoś jakiś na to pomysł?

Z góry dzięki,
KrisKros123

Raczej idź w stronę ustawień serwera webowego. Tam możesz ustawić pulę czy adresy które mogą się łączyć.
Np.
https://serverfault.com/questions/1038936/how-to-implement-ip-whitelist-correctly-on-apache-2-4/1038948
https://ubiq.co/tech-blog/how-to-whitelist-ip-in-nginx/

Przeczytałem te linki myślę, że się przydadzą. Nie wiem jeszcze jak wygląda to w przypadku lighttpd, którego używam, ale się rozeznam.

Dobra dzięki jurek1980, hasłami z podanych linków doszedłem jak to wygląda w lighttpd, podaję linki:
https://redmine.lighttpd.net/boards/2/topics/1279
https://www.cyberciti.biz/tips/lighttpd-restrict-or-deny-access-by-ip-address.html

Dla tych co używają apache bądź nginx przydatny będzie jeden (w zależności od serwera web) z linków jurka, dla tych co mają jak ja lighttpd te co podałem wyżej.

Szukaj czegoś w stylu "nazwaserwra IP whitelist"
https://www.google.com/amp/s/www.cyberciti.biz/tips/lighttpd-restrict-or-deny-access-by-ip-address.html

Tak, jak pisze @jurek1980 - zablokuj to na poziomie webserwera (można też pomyśleć o wycięciu przez firewall, tylko to może być overkill), ALE ja bym nie bazował tylko na tym, tylko również dodał analogiczny mechanizm w samym skrypcie/aplikacji. Bo teraz to będzie działać, ale za rok czy dwa zrobisz update jakiejś usługi, albo w ogóle przeniesiesz to na nowy serwer i zapomnisz to dodać/sprawdzić czy działa. I o swoim przetoczeniu się dowiesz, gdy zacznie się dziać to, przed czym chcesz się zabezpieczyć ;)

A nie można odpalić zgłaszania problemów jako osobnej usługi, dostępnej tylko z poziomu sieci lokalnej?
Taki ręcznie napisany filtr, to rozwiązanie kruche, konfiguracja sieci może zmienić się w każdym momencie. Miałeś prefix sieci /24, a naglę admin zrobił /16, i przybyło całe mnóstwo nowych hostów. Jak już, to skorzystać z konfiguracji web serwera.

Ogólnie to wpadłem na taki pomysł, aby zrobić to co napisał mi jurek, cerrato i coś od siebie. A mianowicie, serwer przydziela adresy IP według wpisów w pliku dhcpcd.conf w /etc, zwykłym cat'em, ładuje te adresy skryptem, który sobie napisałem, i zapisuję je do bazy, stąd mam już większość jak nie wszystkie adresy w sieci lokalnej, które później filtruję, na poziomie serwera web zrobiłem to co jurek mi napisał, a takim dodatkowym zabezpieczeniem co wspomniał cerrato jest też ten "analogiczny mechanizm w skrypcie". I jak na razie wszystko działa prawidłowo, z zewnątrz mnie nie wpuszcza z wewnątrz działa. :)

Nie bazowałbym na DHCP - chociażby z tego powodu, że klient może sobie ustalić, że nie korzysta z dynamicznego przydzielenia i wpisze sobie jakiś adres z łapy/na sztywno. I co wtedy? Wpuszczasz? Traktujesz jako komputer nieznany? A jeśli sobie ustali adres kompa, który chwilę temu był aktywny/obsuzony przez DHCP, ale się wyłaczył - tylko serwer o tym nie wie i wpuści tego intruza na takich samych uprawnieniach, jakie miał komputer z pierwotnie przydzielonym adresem.

Z dhcpcd.conf czytasz przydzielony adres wraz prefiksem i liczysz adres sieci? Zadziała tylko jeżeli sieć nie jest podzielona na podsieci, bo wtedy w pliku będzie adres podsieci. Ale dla prostych konfiguracji spoko.

nalik napisał(a):

Z dhcpcd.conf czytasz przydzielony adres wraz prefiksem i liczysz adres sieci? Zadziała tylko jeżeli sieć nie jest podzielona na podsieci, bo wtedy w pliku będzie adres podsieci. Ale dla prostych konfiguracji spoko.

Wszystkie komputery są w tej samej podsieci, w inncyh są switche, access pointy itd.

cerrato napisał(a):

Nie bazowałbym na DHCP - chociażby z tego powodu, że klient może sobie ustalić, że nie korzysta z dynamicznego przydzielenia i wpisze sobie jakiś adres z łapy/na sztywno. I co wtedy? Wpuszczasz? Traktujesz jako komputer nieznany? A jeśli sobie ustali adres kompa, który chwilę temu był aktywny/obsuzony przez DHCP, ale się wyłaczył - tylko serwer o tym nie wie i wpuści tego intruza na takich samych uprawnieniach, jakie miał komputer z pierwotnie przydzielonym adresem.

Jeżeli ma adres taki jaki powinien mieć dla sieci lokalnej to mam go wpuścić, przynajmniej tak zostało mi nakazane do zrobienia.

Ja się zgadzam z przedmówcami.

Na pewno kod źródłowy aplikacji to nie miejsce na takie sprawdzajki. Powinieneś to zrobić na poziomie servera webowego lub architektury.