Policy fuer dyndns adresse?

Dieses Thema im Forum "Firewalls" wurde erstellt von nikster77, 30.05.2005.

  1. #1 nikster77, 30.05.2005
    nikster77

    nikster77 Routinier

    Dabei seit:
    15.03.2004
    Beiträge:
    307
    Zustimmungen:
    0
    Hi Leute,
    ich habe folgendes Problem:

    Ich moechte eine Adresse per DNAT auf eine interne Maschine durchlassen.
    Leider hat der Kollege, genau wie ich, 24 Std. zwangstrennung.
    Ich habe ihm also empfohlen eine DynDNS-Adresse zu verwenden... diese hab ich dann in der Firewall freigegeben.
    Es scheint aber als wuerde nur die IP von der Firewall erkannt und nicht geupdatet:

    test# iptables -A INPUT -s kollegendomain.dyndns.org -p tcp --dport 2222 -j ACCEPT
    test# iptables-save | grep 2222
    -A INPUT -s 22.33.44.55 -p tcp -m tcp --dport 2222 -j ACCEPT

    Ich muesste die Firewall also zu dem Zeitpunkt reloaden an dem seine IP wechselt...
    Das ist natuerlich undenkbar... weiss jemand eine elegantere moeglichkeit?

    Gruss

    Niels
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 monarch, 30.05.2005
    monarch

    monarch Schattenparker

    Dabei seit:
    13.02.2005
    Beiträge:
    222
    Zustimmungen:
    0
    Aus der man iptables:

    "really bad" ist es deswegen, weil beim Starten deiner Firewall der Domainname per DNS ausgewertet wird und die momentane IP in die Firewall-Regeln gebacken wird. Auf sowas wie dyndns ist iptables halt nicht ausgelegt.

    Bau dir doch einfach nen Cronjob, der die Firewall alle 10 Minuten neu startet. Oder 2 Minuten nach xx Uhr, falls du weißt wann die die Zwangstrennung machen.
     
  4. #3 nikster77, 30.05.2005
    nikster77

    nikster77 Routinier

    Dabei seit:
    15.03.2004
    Beiträge:
    307
    Zustimmungen:
    0
    Hmm... in die manpage hab ich schon lange nicht mehr reingeschaut... dumm das.
    Nein so einen Cronjob will ich nicht...
    Meine Firewall haengt bereits an meinen ip-up und ip-down scripts und das reicht.
    Es scheint wirklich keine loesung zu geben... irgendeine Option die es erzwingt den namen einfach jedes mal auf's neue aufzuloesen...
    Wer ich mal bei netfilter.org als enhancement request im bugzilla einkippen.

    Danke

    Niels
     
  5. #4 Havoc][, 30.05.2005
    Havoc][

    Havoc][ Debian && Gentoo'ler

    Dabei seit:
    27.07.2003
    Beiträge:
    898
    Zustimmungen:
    0
    Ort:
    GER/BaWü/Karlsruhe (bzw. GER/NRW/Siegen)
    Wie soll denn das auch gehen?

    Soll iptables wirklich bei jeder Verbindung von Aussen erstmal alle DNS Namen auflösen um zu schauen ob er diese "rein lassen" darf? Ok, man könnte iptables sagen, update die DNS alle 10 minuten. Aber was wäre das für eine Firewall wenn sie (selbst wenns nur 10 min sind) 10 Minuten eine Verbindung von einer IP Akzeptiert, die "Schadhaft" sein könnte?

    Keine gute Idee mit DNS Auflösung in IPTables.

    Denk lieber mal darüber nach per Cronjob deine Verbindung und die deines Freundes um eine bestimmte Uhrzeit zu "restarten". So mach ich das auch und bin eigentlich ziemlich froh das mir der Disconnect nicht Mittags vor den Füssen her läuft.

    Havoc][
     
  6. #5 nikster77, 31.05.2005
    nikster77

    nikster77 Routinier

    Dabei seit:
    15.03.2004
    Beiträge:
    307
    Zustimmungen:
    0
    Hi Havoc.

    Soll iptables wirklich bei jeder Verbindung von Aussen erstmal alle DNS Namen auflösen um zu schauen ob er diese "rein lassen" darf?

    Ja, warum nicht? Nur als Option halt... wer's will gut, wer nicht auch gut...
    Hab ein enhancement-request bei netfilter.org gemacht.

    Hey... software soll benutzerfreundlich sein... oder? ;)

    Gruss

    Niels
     
  7. #6 Havoc][, 31.05.2005
    Havoc][

    Havoc][ Debian && Gentoo'ler

    Dabei seit:
    27.07.2003
    Beiträge:
    898
    Zustimmungen:
    0
    Ort:
    GER/BaWü/Karlsruhe (bzw. GER/NRW/Siegen)
    Naja. Über Benutzerfreundlichkeit kann man sich streiten. Ich finde auch andere Packetfilter "Benutzerfreundlicher". PF zum Beispiel. Aber das ist ja nicht das Thema. Wenn du deinem Kumpel einen bestimmten Dienst zur Verfügung stellen möchtest, solltest du dessen Sicherheitsmechanismen in Anspruch nehmen. Das wären bei SSH wohl Zertifikate.

    Aber wir haben bereits in einem anderen Thread darüber gesprochen. Wie wäre es denn in deinem Fall mit Portknocking?

    Havoc][
     
  8. #7 MrFenix, 31.05.2005
    MrFenix

    MrFenix Executor

    Dabei seit:
    16.10.2004
    Beiträge:
    480
    Zustimmungen:
    0
    Ort:
    Siegen, NRW
    Full Ack...
    Ips kann man (mit vergleichsweise geringem Aufwand) fälschen, bei ssh wird das mit dem Zertificate etc. Fälschen schon so ne Sache. Wenn du das mit der DynDns belässt braucht nur einer das Passwort deines Kolegen raten oder auf sonstigem Umweg rauszubekommen und die Sicherheit ist dahin.
     
  9. saiki

    saiki Bratwurstgriller

    Dabei seit:
    18.03.2003
    Beiträge:
    934
    Zustimmungen:
    0
    Ort:
    Sachsen/ Meerane
    wenn du das mit dem dns auflösen haben willst, kannst ud die firewall auch gleich auslassen.
     
  10. #9 monarch, 01.06.2005
    monarch

    monarch Schattenparker

    Dabei seit:
    13.02.2005
    Beiträge:
    222
    Zustimmungen:
    0
    Hab ne Idee:

    Dein Kumpel verbindet sich immer wenn er zwangsgetrennt wurde mit deiner Maschine, wo du auf nem Extraport nen Dienst laufen lässt, der deine Firewall neu startet.

    Natürlich mit Authorisierung usw. sonst isses nicht so sinnvoll.
     
  11. #10 Havoc][, 01.06.2005
    Havoc][

    Havoc][ Debian && Gentoo'ler

    Dabei seit:
    27.07.2003
    Beiträge:
    898
    Zustimmungen:
    0
    Ort:
    GER/BaWü/Karlsruhe (bzw. GER/NRW/Siegen)
    Dann kann er doch direkt die Authorisierung von SSH verwenden *g.

    Havoc][
     
  12. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  13. #11 nikster77, 22.06.2005
    nikster77

    nikster77 Routinier

    Dabei seit:
    15.03.2004
    Beiträge:
    307
    Zustimmungen:
    0
    Sorry... lange keine Zeit gehabt.
    Aber ich versuche, soweit Moeglich, sowas zu schliessen.

    Problem erledigt:
    feste IP besorgt und Gut :)

    Gruss

    Niels
     
  14. Mallah

    Mallah Eroberer

    Dabei seit:
    13.11.2005
    Beiträge:
    51
    Zustimmungen:
    0
    darf man eigentlich 2 dyndns accounts haben, sprich 2 mal free adressen, also somit auch unter 2 mail adressen?
     
Thema:

Policy fuer dyndns adresse?

Die Seite wird geladen...

Policy fuer dyndns adresse? - Ähnliche Themen

  1. Docker 1.2.0 lässt Restart Policy zu

    Docker 1.2.0 lässt Restart Policy zu: Mit der Veröffentlichung der Version 1.2.0 von Docker haben die Entwickler dem System unter anderem die Möglichkeit spendiert, im Fehlerfall oder...
  2. Content Security Policy in Firefox wird offiziell

    Content Security Policy in Firefox wird offiziell: Die W3C-Spezifikation Content Security Policy 1.0 wird ab Firefox 23 offiziell unterstützt. Sie gilt als Meilenstein auf dem Weg zu noch mehr...
  3. SELinux Reference Policy Problem

    SELinux Reference Policy Problem: Hallo, ich habe einen Custom Kernel (3.6.9) unter OpenSuse 12.2 x64. Ich habe die "SELinux Reference Policy" unter...
  4. iptables - default policy - Server macht dicht

    iptables - default policy - Server macht dicht: Moin zusammen, beisse mir hier seit etwa drei Tagen die Zähne an iptables aus. Hier die Regeln, die beim Booten (oder manueller...
  5. Policyd unter Solaris Kompilieren

    Policyd unter Solaris Kompilieren: Moin moin, also ich versuche momentan den Policyd v1.82 zu 64Bit Sparc Code zu kompilieren. den Code selber kompiliert er auch ohne Probleme...