Regra do IPTables usando IP Dinâmico

[amelotti]

Pessoal, tudo bem?

Eu preciso liberar acesso, via SSH, a um cliente, mas gostaria de liberar apenas para as máquinas dele. O problema é que ele não tem IP fixo. Pensei em usar uma URL - algo tipo cliente.no-ip.org - mas não sei como configurar isso no IPTables.
Alguém já resolveu esse tipo de problema? Sabem me dizer como resolver?

[]'s

[Leandr0]

sobre ip dinamico da uma olhada olhada...

http://ubuntuforum-br.org/index.php/topic,77257.0.html


sobre o redirecionamento para a maquina do windows utilize a config no seu servidor de firewall:

### libera acesso ao SSH
#echo "1" > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 22 -j DNAT --to ipdamaquinawindows
#iptables -t nat -A POSTROUTING -d ipdamaquinawindows -j SNAT --to ipdaplacainternadofirewall

[amelotti]

Leandr0, não entendi sua sugestão de regras... Nat? MáquinaWindows? você respondeu no tópico certo?

[]'s

[Leandr0]

sobre ip dinamico da uma olhada olhada...

http://ubuntuforum-br.org/index.php/topic,77257.0.html


sobre o redirecionamento para a maquina do SSH utilize a config no seu servidor de firewall:
### libera acesso ao SSH
#echo "1" > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 22 -j DNAT --to ipdamaquinaSSH
#iptables -t nat -A POSTROUTING -d ipdamaquinaSSH -j SNAT --to ipdaplacainternadofirewall

Vc configura essa regra no seu firewall e redireciona para a maquina que vc quer acessar o SSH, desconsidere a maquina windows, no crtl c + crtl v, esqueci de apagar. no modem ative o DMZ para o IP do FIREWALL, caso a maquina que vc queira acessar remotamente seja o firewall apenas libere o acesso atraves do:

iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT

[amelotti]

Eu não quero simplesmente liberar acesso a qualquer um, isso eu sei como fazer. O que eu quero é liberar o acesso a apenas alguns IPs - apenas algumas máquinas (identificadas de alguma forma - no momento só consigo pensar no IP) terão acesso ao SSH

iptables -A INPUT -i eth0 -p TCP -s 123.456.789.123 --dport 22 -j ACCEPT

Mas o problema é que uma das máquinas tem IP dinâmico. Eu não estou sabendo como mapear esse IP dinâmico, talvez usando o FQDN, dentro das regras.

Entendeu?

Mesmo assim, obrigado!

[]'s

[Leandr0]

teria que montar um script para ele validar atraves do host de origem e nao do ip.....


ja vi isso, em outra empresa que prestei servico para era um firewal via windows.....

[zekkerj]

amelotti, pesquise por uma técnica chamada "door knocking".

Talvez este link já te ajude:
http://www.hostsvault.com/blog/howto-protect-services-like-ssh-against-brute-force-using-only-iptables-port-knocking/

[amelotti]

Oi Zekkerj,

eu já conhecia essa técnica, acho que vou acabar usando ela mesmo. Eu queria mesmo era saber se havia algum meio de filtrar a origem da conexão usando IP dinâmico, de preferência dentro do próprio IP Tables. Vocês conhecem algum firewall que faça isso? Cisco, Checkpoint?

[]'s

[zekkerj]

Eu conheço um pouco sobre roteadores Cisco, mas não sobre os firewalls (ASA, PIX). Não sei te dizer se eles teriam algum modo de fazer isso.
A questão básica aqui é que se o IP é dinâmico, não há como descobrir previamente qual é o IP a ser liberado. E pior, se você tentar usar um nome DNS dinâmico, o iptables não vai atualizar a regra junto com a alteração do endereço. Então eu acho que a idéia do "door knocking" se torna interessante, pois é uma forma da pessoa informar em qual endereço está, no momento da conexão.

Acho que melhor que isso, só usar algum esquema de VPN ou túnel baseado em certificados criptográficos.