baga Δημοσ. 27 Φεβρουαρίου 2017 Δημοσ. 27 Φεβρουαρίου 2017 ΓΕΙΑ ΣΑΣ εχω δημιουργησει ενα αρχειο τχτ που καταγραφονται ολες οι εισερχομενες ip andresse οι οι οποιες αλλαζουνε και δεν ειναι static στην μορφη η μια κατω απο την αλλη 65.4.5.6 22.55.66.77 και το script ειναι το παρακατω που τρεχει for x in `grep -v ^# $ACCEPTLIST | awk '{print $1}'`; doecho „Accepting $x“#ANOIGEI PORTSiptables -A INPUT -p tcp -m tcp -s $x --dport 5567 -j ACCEPTdone iptables -P INPUT DROPiptables -A INPUT -j DROP το προβλημα ειναι οτι καθε φορα χρειαζεται να κανω επανεκκινηση to iptables για να ξεμπλοκάρει τα καινουριες ip andresse υπαρχει κανενας αλλος τροπος να γινει και ποιος?
Επισκέπτης Δημοσ. 27 Φεβρουαρίου 2017 Δημοσ. 27 Φεβρουαρίου 2017 Αν η πολιτική σου βασίζεται στην ιδέα πως οποιοσδήποτε (μιας και δεν μπορείς να καθορίσεις το source) μπορεί να ξεκινήσει TCP session πρός port 5567 για να συνδεθεί με το σύστημα σου γιατί δεν βάζεις any εξαρχής;
Επισκέπτης Δημοσ. 27 Φεβρουαρίου 2017 Δημοσ. 27 Φεβρουαρίου 2017 Σε ποιόν (source ip) θέλεις να επιτρέπεις να ξεκινάει συνδέσεις προς (destination tcp port 5567) στο συστημά σου ; Το ξέρεις (source ip - subnet), πχ απο ένα public space μιας εταιρίας ; Απο subnets ελληνικών ISP; Απο οπουδήποτε στον κόσμο (φαντάζομαι είναι dummy οι ip addresses που γράφεις και ανήκουν σε Bell και DoD) ;
mad-proffessor Δημοσ. 27 Φεβρουαρίου 2017 Δημοσ. 27 Φεβρουαρίου 2017 Το iptables δέχεται και domain names αντι για source ip addresses. Δε χρειάζεται όλο αυτό το script αν γνωρίζεις τα domain names που θα συνδέονται στο σερβερ σου απλά θα είναι κομμάτι πιο αργό(γιατι θα κάνει dns request για να επιλύσει τα fqdn).
baga Δημοσ. 27 Φεβρουαρίου 2017 Μέλος Δημοσ. 27 Φεβρουαρίου 2017 (επεξεργασμένο) οχι δεν ξερω εκ των προτερον πια ip θα συνδεθει μεσα στο τχτ που ερχοντε τα ip τα βγαζω με αλλο προγραμμα που διαβαζει πια user επιτρεπετε να συνδεθουν στο πορτ δεν γινετε με domain διοτι δεν μπορω να ανοιξω σε ολους η μονη δυνατοτητα που εχω ειναι να μπορω να χωριζω τα ιπ τους τα οποια δεν ειναι static τα παραπανω ιπ ειναι τυχαια Επεξ/σία 27 Φεβρουαρίου 2017 από baga
Επισκέπτης Δημοσ. 27 Φεβρουαρίου 2017 Δημοσ. 27 Φεβρουαρίου 2017 Δηλαδή source == users που διαβάζονται με κάποιο τρόπο και χρησιμοποιείται η ip διεύθυνση τους, η ερώτηση παραμένει όμως, που μπορεί να βρίσκονται (πίσω απο κάποιο xDSL connection στο σπίτι τους; Σε κάποιο enterprise; Στην Ελλάδα; Στην Αμερική; Παντού; ) Πως καθορίζετε αυτό το θέμα, δλδ ποιός user επιτρέπεται να συνδεθεί και πως συνδεέται βασικά (authentication eg?). Θα μπορούσες να επιτρέπεις απο κάθε ip να συνδεθεί και να μεταφέρεις το πρόβλημα στο authentication για παράδειγμα (απλά θέλει hardening κάτι τέτοιο προφανός...) ή να παρεμβάλεις vpn το οποίο παρέχει στην συνέχεια πρόσβαση σε tcp port 5567.
baga Δημοσ. 27 Φεβρουαρίου 2017 Μέλος Δημοσ. 27 Φεβρουαρίου 2017 ακριβως συνδεονται με vpn και απο το status tou vpn χωριζει script tis εξωτερικες ip andese και τις στελνει στο τχτ θα μπορουσα να το κανω να συνδεοντε με vpn sto port αλλα δεν το θελω ετσι μονο με την εξωτερικη ιπ του server
Επισκέπτης Δημοσ. 27 Φεβρουαρίου 2017 Δημοσ. 27 Φεβρουαρίου 2017 Αν έχεις ένα ικανοποιητικό επίπεδο ασφαλείας στο vpn που χρησιμοποιείς έχεις ip source του user, user id, αν δίνεις και κάποια συγκεκριμένη ip στο κάθε vpn tunnel interface του αντίστοιχου user, κάλιστα μπορείς να προσαρμόσεις την πολιτική σου να δέχεται συνδέσεις απο το subnet αυτό (πρός tcp port 5567) και φυσικά να προσθέσεις ότι αλλο θες στα permit/deny flows μιας και είναι αρκετά ελεγχόμενο.
baga Δημοσ. 27 Φεβρουαρίου 2017 Μέλος Δημοσ. 27 Φεβρουαρίου 2017 κατι τετιο λες πχ ip vpn tun0 10.44.0.1:5567. αυτο το ξερω αλλα θελω px 45.56.47.48:5567 με αυτο τον τροπο
Επισκέπτης Δημοσ. 27 Φεβρουαρίου 2017 Δημοσ. 27 Φεβρουαρίου 2017 Κατά την άποψη μου είναι πολύ πιο ελεγχόμενο αυτό το σενάριο και λύνεις το dynamic ip address change του source: User X --(ip public X)----> VPN----(ip private Y)----->Destination (tcp port 5567) Καθορίζεις έστω και ANY (0.0.0.0/0) το User κομμάτι (source) να μπορεί να ανοίξει μόνο VPN σε σχετικό port. Καθορίζεις το ip private Y (είτε ανά user είτε όλους τους vpn users του σχετικού subnet) να έχουν πρόσβαση στον προορισμό (tcp port 5567). Δεν βλέπω λόγο που ενώ κάποιος τερματίζει με vpn και πέρνει και ip απο κάποιο συγκεκριμένο pool, να πρέπει να χρησιμοποιεί την public ip του (η οποία δεν μπορεί να προσδιοριστεί το που θα μπορεί να βρίσκετε, όπως αντίστοιχα και σχετικό domain) για να δημιουργήσει άλλες συνδέσεις "πίσω" απο το vpn σημείο. Υπάρχει λόγος; Δεν το βρίσκω διαχειριστικά εύκολο επίσης να σβήνεις , αλλάζεις, αντικαθιστάς κανόνες σε firewall με τέτοια λογική (unknown source determination, dynamic nature).
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα