2006/6/5, Jauntress Fenix <security.debian@gmail.com>:
> On 6/5/06, Rafael Isturiz <netvicios@cantv.net> wrote:
> > On Sunday 04 June 2006 21:43, Jauntress Fenix wrote:
> > [...]
> > > Para mayor comodidad a la hora de trabajar contra el servidor,
> > > había decidido limitar accesos utilizando el dominio DynDNS como llave
> > > de paso (imaginaos por ejemplo denegar la conexión por SSH a todo el
> > > mundo, a excepción del dominio DynDNS).
> >
> > Alguna razón especifica para hacer esto?
> >
> > > Ahora bien, me he encontrado el problema de que el server al
> > > recibir la petición verifica la IP entrante (en este caso dinámica), y
> > > como no figura en su lista de 'permitidas', hace una búsqueda
> > > recursiva de dicha IP. Pero claro, el valor que obtiene no es el
> > > hostname de DynDNS, sino el de Telefónica
> > > (XXX.Red-XXX-XXX-XXX.dynamicIP.rima-tde.net), y deniega el acceso.
> > >
> > > Sé que montando una VPN podría solucionar esto, o escribiendo un
> > > script con una tarea en el cron que actualizara el /etc/hosts del
> > > servidor cada vez que cambiase la IP dinámica de mi casa, pero no
> > > existiría un modo más simple para hacerlo?
> > >
> > > Si a alguien se le ocurre el modo, se lo agradecería.
> >
> > Para mi es mucho mas seguro denegar la entrada por ssh a todos los
> > usuarios menos 1 (tu usuario). Independientemente que te cambie la IP tienes
> > la posibilidad de loguearte con tu usuario, aparte que a nivel administrativo
> > puedes conectarte desde cualquier lugar.
> > Actualmente estás dependiendo del servidor DynDNS de alguna manera, y
> > personalmente prefiero controlar esa parte yo mismo. Hasta puedes crearte
> > unas llaves con ssh-keygen y configurar tu sshd.config para inclusive
> > bloquear cualquier intento del método login-pass si eres paranoico.
>
> Lo del SSH era sólo era un ejemplo para ilustrar mi intención,
> igual que si deseo mostrar unos contenidos web según desde que
> procedencia se haga la petición, acceso a relay o cualquier otra cosa.
>
> Cierto que confiar en un dominio del que no tengo 'auténtica
> propiedad' es algo del todo inseguro, pero mi intención es más
> aprender de qué modo puedo conseguir que cuando el servidor haga sus
> búsquedas recursivas consiga como resultado el dominio DynDNS y no el
> 'oficial' de mi ISP.
>
> Como ya comenté, hice la prueba de poner en el /etc/resolv.conf
> sólo los nameserver de DynDNS y no coló.
>
> Saludos
>
> --
> Jauntress Fenix
> -------------------------------
> Admin SilveryShadows.tk
> http://silveryshadows.tk/
>
>
pregunta?
como pensas restringir el acceso, con firewall,
en ese caso lo que deves hacer es por default restringir el acceso,
y permitir a pirulo.ath.cx el accesos
entonce cuando resuelva la ip de este dominio,
la ip es la de tu cliente.
--
MrIX
Linux user number 412793.
http://counter.li.org/
las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inutiles cronicos,
yo no fui, seguro que es mas inteligente.