Visual Svn Server: cómo restringir la edición por dirección IP especificada

Quiero habilitar solo una IPAddess específica para editar (agregar, eliminar, actualizar …) mi server visual svn, pero todas las demás IPAddess deben poder leer …

Creo que es necesario un cambio como este en el file %VISUALSVN_SERVER%conf\httpd-custom.conf

 <VirtualHost *:80> <Location /svn> # write access <LimitExcept GET PROPFIND OPTIONS REPORT> Order deny,allow deny from all Allow from XXX.XXX.XXX.XXX </LimitExcept> </Location> </VirtualHost> 

pero no sé bien el server visual svn. ¿Cuál es la manera correcta?

Visual SVN Server 3.2 x64 está instalado en Windows 2008 R2 Server x64

ACTUALIZACIÓN del soporte de VisualSvn

Dicha característica no está disponible en VisualSVN Server 3.2, pero consideramos la posibilidad de implementarla en futuras versiones. […] En términos generales, es posible implementar restricciones basadas en IP modificando el file httpd-custom.conf, sin embargo, desaconsejamos encarecidamente adoptar este enfoque. VisualSVN Server tiene habilitada la opción "SVNPathAuthz short_circuit", que mejora drásticamente el performance de la autorización. Sin embargo, la opción tiene una limitación: la configuration del server no debe depender de otros modules de autorización como "authz_host_module" (que es responsable de los controles basados ​​en IP), de lo contrario, se encontrará con un comportamiento inesperado con la autorización. Por otro lado, si deshabilita "short_circuit", notará una degradación del performance cuando ejecute operaciones de autorización intensiva contra sus repositorys (como ejecutar svn log , svn checkout , `svn export, etc. o ejecutar un browser de repository gráfico como el un cliente de TortoiseSVN proporciona)

Dado que no hay soporte integrado para eso en SVN, es posible que desee search una solución alternativa.

Puede configurar el server SVN para utilizar la authentication, luego permitir que solo los usuarios / grupos autentificados realicen confirmaciones y dejar a todos para el acceso de solo lectura. La security se puede reforzar en IIS y, SSL / TLS se puede usar fácilmente e incluso se pueden detectar y bloquear los bashs de contraseña de fuerza bruta, si esa es la razón principal para considerar el filtrado de IP.

Si por alguna razón el filtrado de IP es obligatorio , sugiero tener otra instancia del Servidor SVN (que se ejecute en un puerto IP diferente) y hacer una copy del repository en esa instancia (use svn dump en la instancia principal, luego svn load en su lectura -sólo instancia 2). Luego, haga que su firewall permita que los commiters (que están filtrados por IP) accedan al server SVN principal, y todas las demás direcciones IP puedan acceder a la instancia del server SVN de solo lectura.

Con svn dump y load, puedes copyr todo: todas las confirmaciones, historial, comentarios, etc. Puedes hacerlo tantas veces como quieras, y también puedes vincular estas acciones al enlace post-commit, para que suceda después de cada commit. .