403 - Forbidden

[DOGMAT]

Такая ошибка возникает при попытке доступа к webgui не из домашней сети (все настроено и в прошлой версии работало). Так же пробежавшись по форуму нашел пару советов про dhcp, но проблемы это не решило обновился до последнего релиза 9.3.0.2 - Nayla (сборка 1213), но проблема так же не решилась.

[sea1150]

Это не проблема и не ошибка. Это сделано в целях безопасности. В новых версиях N4F 9.3.0.2 есть ограничение на подключение к веб интерфейсу только из локальной сети или локалхоста. Это прописано в конфиге веб сервера для интерфейса N4F.
Быстро это можно убрать:
в файле /var/etc/lighttpd.conf закоментировать строки (у вас может быть прописана своя подсеть):

Code: Select all

$HTTP["remoteip"] == "192.168.0.0/24" {
	url.access-deny = ( "~", ".inc", ".htpasswd" )
}
$HTTP["remoteip"] == "127.0.0.1" {
	url.access-deny = ( "~", ".inc", ".htpasswd" )
}

строкой выше изменить:

Code: Select all

url.access-deny = ( "" )

на

Code: Select all

url.access-deny = ( "~", ".inc", ".htpasswd" )

и перезагрузить N4F
Но имейте ввиду, после внесения каких либо изменений в веб интерфейсе эти строки снова будут как и положено прописаны в вышеуказанный файл.

Есть более радикальный метод. Подредактировать файл /etc/rc.d/lighttpd , закоментировать строки:

Code: Select all

	for h in $_hostsallow; do
		cat <<EOF >> ${lighttpd_conf}
\$HTTP["remoteip"] == "$h" {
	url.access-deny = ( "~", ".inc", ".htpasswd" )
}
EOF

строкой выше изменить:

Code: Select all

url.access-deny = ( "" )

на

Code: Select all

url.access-deny = ( "~", ".inc", ".htpasswd" )

Вот тогда веб интерфейс будет открыт всем и всегда, даже после внесения изменений в веб интерфейсе (если только вы не защитите себя иными способами).

[DOGMAT]

Забыл упомянуть что система стоит embeded.
Про данную фичу в ченджлоге ни слова.
Хм полчаса назад инфа там появилась.
Указанный радикалный метод не помогает. после перезагрузки файл меняется в исходное состояние.

[sea1150]

Попробуйте второй вариант, он должен работать.
PS: не увидел что embeded, мда, тут надо подумать, этот файл по идее должен быть в доступе...хотя скорее всего он разархивируется каждый раз из mdlocal или mfsroot.

[DOGMAT]

второй вариант - как е прискорбно. mdlocal

[sea1150]

Ну тут только самому пересобрать с изменениями..наверно для вас уже сложнее.

[DOGMAT]

а можно ли запилить фичреквест на добавление сей опции в webgui?
По поводу пересборки - сложновато.

[alexey123]

Для эмбедед тоже можно всякое файло подменять.
В вашем конкретном случае подменять надо /etc/rc.d/lighttpd
Делается так:
Композируется файл с нужными настройками. Сохраняется где-нибудь на диске. В меню командные скрипты объявляется kоманда, которая
1. Сносит оригинальный файл
2. Копирует нужный вместо снесенного.
эти два пункта можно одной объединить одной коммандой cp -f /mnt/path/to/our/file /etc/rc.d/lighttpd
3. Рестартовать сервер /etc/rc.d/lighttpd restart.

Итого команда получается такая

Code: Select all

cp -f /mnt/path/to/our/file /etc/rc.d/lighttpd && /etc/rc.d/lighttpd restart

Только лучше разобраться, с каких подсетей, а их не так уж и много, возможен доступ к вэбморде, и разрешить для них доступ. Я бы поступил именно так.

А можно еще туннелем через ssh.

[DOGMAT]

Для эмбедед тоже можно всякое файло подменять.
В вашем конкретном случае подменять надо /etc/rc.d/lighttpd
Делается так:
Композируется файл с нужными настройками. Сохраняется где-нибудь на диске. В меню командные скрипты объявляется kоманда, которая
1. Сносит оригинальный файл
2. Копирует нужный вместо снесенного.
эти два пункта можно одной объединить одной коммандой cp -f /mnt/path/to/our/file /etc/rc.d/lighttpd
3. Рестартовать сервер /etc/rc.d/lighttpd restart.

Итого команда получается такая

Code: Select all

cp -f /mnt/path/to/our/file /etc/rc.d/lighttpd && /etc/rc.d/lighttpd restart

Только лучше разобраться, с каких подсетей, а их не так уж и много, возможен доступ к вэбморде, и разрешить для них доступ. Я бы поступил именно так.

А можно еще туннелем через ssh.

Спасибо за помощь - завтра опробую вариант с командным скриптом. А не растолкуете поподробнее про доступ через ssh тунель?

[alexey123]

Спасибо за помощь - завтра опробую вариант с командным скриптом. А не растолкуете поподробнее про доступ через ssh тунель?

Я сам не пробовал, но вот тут принцип http://www.freenaskb.info/kb/?View=entry&EntryID=190

[DOGMAT]

Подниму тему, поскольку после апдейта опять пропал доступ извне. прописвыание диапазоов в CIDR так же не помогает.

[zakroma]

Можно проще на embedded:

Code: Select all

mount -u -o rw /cf
nano /conf/config.xml

и там в Hosts allow ставим нужное значение

Code: Select all

<webgui>
<protocol>https</protocol>
<port/>
<hostsallow>192.168.1.18</hostsallow>

[bender_hak]

я решил эту проблему по другому, на mikrotikе (маршрутизатор) запустил pptp сервер, и прописал маршруты. Теперь цепляясь по vpn я в локальной сети где стоит NAS.

[helper125]

Немного некропостинга, надеюсь кому-нибудь будет полезно (embeded):
Я пошёл другим путём в System-> General в значение "Hosts Allow" прописал значение "127.0.0.0/1 128.0.0.0/1" после перезагрузки пускает с любых (которые удалось проверить в моей сети) адресов, что в теории, расово верно.
Мы как раз прописали разрешение практчески для всех узлов, за исключение 4х.


В крайнем случае, если уже "всё пропало" подключаемся через ssh, получаем рута (или под рутом), правим /var/etc/lighttpd.conf, убиваем lighttpd (killall lighttpd) и запускаем с уже правильным (lighttpd /var/etc/lighttp.conf)

[matveevg]

Добрый день
Система|Общие параметры | Разрешенные хосты
Значение - 0.0.0.0/0