PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Policy fuer dyndns adresse?



nikster77
30.05.2005, 20:16
Hi Leute,
ich habe folgendes Problem:

Ich moechte eine Adresse per DNAT auf eine interne Maschine durchlassen.
Leider hat der Kollege, genau wie ich, 24 Std. zwangstrennung.
Ich habe ihm also empfohlen eine DynDNS-Adresse zu verwenden... diese hab ich dann in der Firewall freigegeben.
Es scheint aber als wuerde nur die IP von der Firewall erkannt und nicht geupdatet:

test# iptables -A INPUT -s kollegendomain.dyndns.org -p tcp --dport 2222 -j ACCEPT
test# iptables-save | grep 2222
-A INPUT -s 22.33.44.55 -p tcp -m tcp --dport 2222 -j ACCEPT

Ich muesste die Firewall also zu dem Zeitpunkt reloaden an dem seine IP wechselt...
Das ist natuerlich undenkbar... weiss jemand eine elegantere moeglichkeit?

Gruss

Niels

monarch
30.05.2005, 20:55
Aus der man iptables:



-s, --source [!] address[/mask]
Source specification. Address can be either a net*
work name, a hostname (please note that specifying
any name to be resolved with a remote query such as
DNS is a really bad idea)

"really bad" ist es deswegen, weil beim Starten deiner Firewall der Domainname per DNS ausgewertet wird und die momentane IP in die Firewall-Regeln gebacken wird. Auf sowas wie dyndns ist iptables halt nicht ausgelegt.

Bau dir doch einfach nen Cronjob, der die Firewall alle 10 Minuten neu startet. Oder 2 Minuten nach xx Uhr, falls du weißt wann die die Zwangstrennung machen.

nikster77
30.05.2005, 21:20
Hmm... in die manpage hab ich schon lange nicht mehr reingeschaut... dumm das.
Nein so einen Cronjob will ich nicht...
Meine Firewall haengt bereits an meinen ip-up und ip-down scripts und das reicht.
Es scheint wirklich keine loesung zu geben... irgendeine Option die es erzwingt den namen einfach jedes mal auf's neue aufzuloesen...
Wer ich mal bei netfilter.org als enhancement request im bugzilla einkippen.

Danke

Niels

Havoc][
30.05.2005, 21:32
Wie soll denn das auch gehen?

Soll iptables wirklich bei jeder Verbindung von Aussen erstmal alle DNS Namen auflösen um zu schauen ob er diese "rein lassen" darf? Ok, man könnte iptables sagen, update die DNS alle 10 minuten. Aber was wäre das für eine Firewall wenn sie (selbst wenns nur 10 min sind) 10 Minuten eine Verbindung von einer IP Akzeptiert, die "Schadhaft" sein könnte?

Keine gute Idee mit DNS Auflösung in IPTables.

Denk lieber mal darüber nach per Cronjob deine Verbindung und die deines Freundes um eine bestimmte Uhrzeit zu "restarten". So mach ich das auch und bin eigentlich ziemlich froh das mir der Disconnect nicht Mittags vor den Füssen her läuft.

Havoc][

nikster77
31.05.2005, 16:17
Hi Havoc.

Soll iptables wirklich bei jeder Verbindung von Aussen erstmal alle DNS Namen auflösen um zu schauen ob er diese "rein lassen" darf?

Ja, warum nicht? Nur als Option halt... wer's will gut, wer nicht auch gut...
Hab ein enhancement-request bei netfilter.org gemacht.

Hey... software soll benutzerfreundlich sein... oder? ;)

Gruss

Niels

Havoc][
31.05.2005, 18:43
Hi Havoc.
Ja, warum nicht? Nur als Option halt... wer's will gut, wer nicht auch gut...
Hab ein enhancement-request bei netfilter.org gemacht.

Hey... software soll benutzerfreundlich sein... oder? ;)

Gruss

Niels
Naja. Über Benutzerfreundlichkeit kann man sich streiten. Ich finde auch andere Packetfilter "Benutzerfreundlicher". PF zum Beispiel. Aber das ist ja nicht das Thema. Wenn du deinem Kumpel einen bestimmten Dienst zur Verfügung stellen möchtest, solltest du dessen Sicherheitsmechanismen in Anspruch nehmen. Das wären bei SSH wohl Zertifikate.

Aber wir haben bereits in einem anderen Thread darüber gesprochen. Wie wäre es denn in deinem Fall mit Portknocking?

Havoc][

MrFenix
31.05.2005, 19:55
Wenn du deinem Kumpel einen bestimmten Dienst zur Verfügung stellen möchtest, solltest du dessen Sicherheitsmechanismen in Anspruch nehmen. Das wären bei SSH wohl Zertifikate.

Full Ack...
Ips kann man (mit vergleichsweise geringem Aufwand) fälschen, bei ssh wird das mit dem Zertificate etc. Fälschen schon so ne Sache. Wenn du das mit der DynDns belässt braucht nur einer das Passwort deines Kolegen raten oder auf sonstigem Umweg rauszubekommen und die Sicherheit ist dahin.

saiki
31.05.2005, 20:29
wenn du das mit dem dns auflösen haben willst, kannst ud die firewall auch gleich auslassen.

monarch
01.06.2005, 12:42
Hab ne Idee:

Dein Kumpel verbindet sich immer wenn er zwangsgetrennt wurde mit deiner Maschine, wo du auf nem Extraport nen Dienst laufen lässt, der deine Firewall neu startet.

Natürlich mit Authorisierung usw. sonst isses nicht so sinnvoll.

Havoc][
01.06.2005, 12:57
Hab ne Idee:

Dein Kumpel verbindet sich immer wenn er zwangsgetrennt wurde mit deiner Maschine, wo du auf nem Extraport nen Dienst laufen lässt, der deine Firewall neu startet.

Natürlich mit Authorisierung usw. sonst isses nicht so sinnvoll.
Dann kann er doch direkt die Authorisierung von SSH verwenden *g.

Havoc][

nikster77
22.06.2005, 09:53
Sorry... lange keine Zeit gehabt.
Aber ich versuche, soweit Moeglich, sowas zu schliessen.

Problem erledigt:
feste IP besorgt und Gut :)

Gruss

Niels

Mallah
12.12.2006, 15:31
darf man eigentlich 2 dyndns accounts haben, sprich 2 mal free adressen, also somit auch unter 2 mail adressen?