Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
Frank Brodbeck <brodbeck@ifh.uni-karlsruhe.de> writes:
> [..]
> -s, --source[!]address[/mask]
> Source specification. _Address_ can be either a hostname, a networt
> nme, or a plain IP address.
>
> Ich hab das auch noch nicht probiert. Könnte sein, dass er bei einem
> hostnamen nur in der hosts nachschaut, was ich sogar für sehr
> wahrscheinlich halte.
Nö, ich schätze iptables löst den Namen über gethostbyname() auf,
jedenfalls steht in 'meiner' Manpage folgendes:
-s, --source [!] address[/mask]
Source specification. Address can be either a net
work name, a hostname (please note that specifying
any name to be resolved with a remote query such as
DNS is a really bad idea) [...]
Das ist deshalb eine schlechte Idee, weil es natürlich etwas aufwendig
ist, für jedes Packet eine DNS-Anfrage zu starten. Man könnte
natürlich per stateful inspection dafür sorgen, daß diese Auflösung
nur für neue SSH-Verbindungen durchgeführt wird (--dport 22 --state
NEW).
Eine andere Möglichkeit wäre, die IP per Umgebungsvariable zu
übergeben und wann immer sie sich ändert das Firewallskript neu
auszuführen.
M.E. ist der Sicherheitsgewinn aber sehr gering, wenn alles
funktioniert. Und die Gefahr ist groß, durch die Bastelei Fehler
einzubauen. Deshalb würde ich auch dazu raten, 22 für alle aufzumachen
und die SSH entscheiden zu lassen, wer rein darf und wer nicht.
Grüße,
Daniel.
--
..... Daniel Hofmann <usenet@shadowprint.de> .....
Reply to: