https://www.opennet.ru/openforum/vsluhforumID3/58607.html Возникла задача предоставить сервис для клиентов, использующих внешние динамические адреса. <br>Доступ к сервису ограничен правилами IPTABLES.<br><br>Клиентам, которым необходимо получить услугу предлагается создать учетную запись на ресурсе dyndns.org, <br>клиент получит доменное имя в виде client.dyndns.org.<br><br>При каждом изменении ip адреса клиента мы всегда узнаем его адрес по доменному имени. Если мы добавим <br>правило в iptables для этого доменного имени, правило будет работать только для текущего ip адреса клиента <br>и при последующем изменении ip адреса, доступ к сервису будет ограничен.<br><br>Оригинал решения был найден здесь: http://dave.thehorners.com/content/view/86/65/ , а мы всего лишь доработаем этот скрипт.<br><br>Создаем несколько каталогов:<br><br> /root/dynhosts/ - общий каталог<br> /root/dynhosts/zones/ - здесь будем хранить файлы доменных зон клиентов<br> /root/dynhosts/logs/ - лог файлы работы скрипта<br> /root/dynhosts/scripts/ - здесь будет находится сам запускаемый скрипт<br><br>Создаем лог-файл:<br><br> tou https://www.opennet.ru/openforum/vsluhforumID3/58607.html#9 Thu, 19 Dec 2013 06:16:37 GMT Мой вариант скрипта для разрешения прохода мимо маршрутизатора нужных хостов на удалёную машину<br><br>#!/bin/bash <br> #<br> # filename: firewall-dynhosts.sh<br> #<br> PATH="/usr/local/sbin/dynhosts"<br> NOW=$(/bin/date)<br> CHAIN="dynamichosts" # change this to whatever chain you want.<br> IPTABLES="/sbin/iptables"<br><br> # create the chain in iptables.<br>$IPTABLES -N $CHAIN -t nat<br><br>FILES=`/bin/ls --format=single-column $PATH/zones/`<br> <br>echo $FILES<br><br>for file in $FILES<br>do<br> HOSTFILE="$PATH/zones/$file"<br> echo $HOSTFILE<br><br> # lookup host name from dns tables<br> IP=`/usr/bin/dig +short $file &#124; /usr/bin/tail -n 1`<br> if [ "${#IP}" = "0" ]; then<br> echo "$NOW Couldn't lookup hostname for $file, failed." &gt;&gt; /$PATH/logs/dynhosts.log<br><br> continue<br> fi<br><br> OLDIP=""<br> if [ -a $HOSTFILE ]; then<br> OLDIP=`cat $HOSTFILE`<br> echo "CAT returned: $?"<br> fi<br><br> # save off new ip.<br> echo $IP&gt;$HOSTFILE<br><br> <br> echo "Updating $file in iptables."<br> echo "In https://www.opennet.ru/openforum/vsluhforumID3/58607.html#8 Thu, 17 Sep 2009 20:10:18 GMT строку echo #/bin/bash &gt; temp_rules.sh заменить на echo "#!/bin/bash" &gt; temp_rules.sh<br> https://www.opennet.ru/openforum/vsluhforumID3/58607.html#7 Thu, 17 Sep 2009 20:06:58 GMT а теперь представим ситуацию, я легитимный пользователь получаю IP, регистрирую зону , создаю там запись в автоматическом режиме , пользуюсь интернетом всё хорошо. выключаюсь , и вдруг мой IP выдаётся другому клиенту, скрипт лезет по файлам, находит что IP принадлежит мне(я не удалял запись и не менял её мне инет в данный момент не нужен) и пускает нелегитимного пользователя как меня<br><br>теперь рассмотрим скрипт <br>$IPTABLES -F $CHAIN<br>те этой строкой мы очищаем таблицу правил для того чтобы создать новую таблицу но !!!!! <br>1.время формирования новой таблицы не равно 0 и соответственно мы прерываем все соединения от всех динамических клиентов <br>2. если использовать крон то данное действие мы будем производить с определённой периодичностью(чем актуальнее для нас скорость обновления тем чаще будут обрываться соединения)<br><br>исправление разрывов можно избежать добавив первым(для уменьшения нагрузки) правилом<br>$IPTABLES -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT<br>$IPTABLES -I INPUT 2 -j $CHAIN<br><br>REM https://www.opennet.ru/openforum/vsluhforumID3/58607.html#3 Mon, 07 Sep 2009 13:27:19 GMT Гм, а прикрутить какой-нибудь port knock демон, "слушающий" не отдельный диапазон портов, а [закрытый по умолчанию] порт охраняемого сервиса, и открывающий его по успешной проверке обратного dyndns разрешения адреса? Ну, плюс какое-нибудь выстраивание проверок в очередь, чтоб не заDOSисли...<br><br>Регистрация на dyndns -&gt; первая попытка соединения -&gt; облом + отработка кнокера -&gt; вторая попытка подключения -&gt; норм.соединение.<br><br>Хотя, выкидывать из разрешающих таблиц тоже как-то надо. ipt_recent - ом "expire"-ить?...<br><br>Главное, чтоб никакого крона. %)<br><br>И кста, об event-драйвен (врагам udev-а: сильно не пинайте, я же даже не написал никаких _пастчей_): даёшь %) ipt_resent-у и ipt_set-у CRUD-hookи-callbackи?<br><br>Интересно, ломящиеся на порт ssh бот-неты такую конструкцию быстро положат? $) А противо-бот-нет-ные костыли придумать...<br> https://www.opennet.ru/openforum/vsluhforumID3/58607.html#2 Mon, 07 Sep 2009 10:01:40 GMT &gt;А по логину и паролю или сертификату нельзя было разграничить доступ? :) <br><br>Причин может быть много, от желания лишний раз перестраховаться и дополнительно прикрыть сервис фаерволом, до варианта когда за каждым IP сидит домашняя сетка с кучей людей через NAT и им нужно простым способом дать доступ к web/ftp.<br> https://www.opennet.ru/openforum/vsluhforumID3/58607.html#1 Mon, 07 Sep 2009 09:41:34 GMT А по логину и паролю или сертификату нельзя было разграничить доступ? :)<br>