 |
||
| ||
| |||||
| Dernière réponse | |||
|---|---|---|---|
| Sujet : ssh + ip dynamique | |||
| Sagittarius |
|
||
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| Sagittarius |
|
| mikala | le fichier ip-up (ou if-up ) entraine bien l'execution du repertoire ad hoc ?
sur ma debian que j'ai en passerrelle j'ai ainsi cela dedans
|
| Sagittarius | Bonsoir à vous,
Juste pour vous remercier les pros. Si si ! En effet, je viens de tester et d'adopter ez-ipupdate avec dyndns. Qu'est-ce que cela va me rendre service ce truc pour administrer à distance par ssh et webmin les amis (et la famille convertie presque de force) pour lesquels j'ai installé GNU/Linux. Je vais tous leur faire utiliser dyndns. Jusqu'alors, j'avais pensé à un truc du genre /sbin/ifconfig ppp0 | grep inet | cut -d ":" -f 2 | cut -d " " -f 1 puis mail régulier, mais je me disais que cela ferait bien lourd. Tandis qu'avec ez-ipupdate, c'est simplissime. Et puis le script ez-ipupdate modifié, me sert aussi pour appeler le script iptables (engendré avec Guarddog) après chaque changement d'ip par le fai. En effet, en connexion internet par pppd sous Mdk 9.2 (aDSL pppoa), les scripts placés dans /etc/ppp/if-up.d ou dans /etc/sysconfig/network-scripts/ifup.d ne sont bizarrement pas lancés lors de changement d'ip. Les scripts à ces emplacements ne sont, semble-t-il, efficaces que pour un lancement des interfaces réseau autres que pppx. Enfin, je suis ravi. |
| the_fireball | voila c'est fait, de rien, c'est naturel |
| the_fireball | DTCCCCCCCCCCCCCCCC |
| mikala |
|
| void_ppc |
|
|
| void_ppc |
|
| conti |
|
| conti |
|
| mikala |
|
| mikala | 2^80 :D |
|
| void_ppc | en même temps avec le bloc d'adresse v6 dispo y a moyen d'en prendre une de derrière les fagots (securité par l'obscurité powa) |
| mikala |
|
| conti |
|
| conti |
|
| mikala |
|
| void_ppc |
|
| mikala | un vpn en ipv6 ? :D |
| void_ppc |
|
| conti |
|
| void_ppc | et tant qu'à faire tu le fait en ipv6, vu le peu de monde pour le moment t'es encore + tranquille :D |
| conti |
|
| conti | Yep. T'as raison. J'ai regardé mon shell (qui date), et effectivement, y'a pas de ping. Le shell fait 4ko, vérifie la conformité de l'IP résolue sur le hostname dyndns, vérifie que cette IP appartient bien au provider habituel de l'hôte distant, loggue les changements d'IP, et impose une limite au nb de changement d'IP de l'hôte distant.
Mais comme tu le dis, Mikala, RIEN NE VAUT UNE IP FIXE! Le mieux étant encore de monter un VPN entre 2 IP fixes. Là, c'est du béton. |
| ouai d' accord comme ca en effet ce serait plus simple mais disons que je peux pas utiliser dyndns ou autre j' ai seulement une ip je suis obligé d' intervenir moi meme
quelque part pour ouvrir l acces enfin d' une facon ou d' une autre je peux pas prevoir. |
| mikala | t'es sous openbsd [:spamafote]
(c'était surtout pour voir l'édit plus haut en fait :D ) |
| conti |
|
| mikala | oki donc c'est bien ce que je pensais .
j'avais cru comprendre que tu parlais de ssh & je trouvais alors cela stupide :p ceci dit tester la présence sur un ping est ma fois limite : si pour une raison x l'imcp est filtré comme un porc par un goret cela merde la . enfin c'est mieux que rien ( & vive l'ip fixe il n'y a pas a dire que c'est le _bien_ n'en déplaise aux parano :D ) |
| conti | Si l'hôte se déconnecte (d'internet, pas de SSH), tu n'arrives plus à pinger l'hôte distant, que ce soit par sa dernière IP ou par son hostname dyndns. A partir de ce moment, tu vires l'IP des règles du firewall: tu coupes l'accès, et ce jusqu'à ce que le hostname dyndns réapparaisse. La "réactivité" du système dépend de la fréquence à laquelle tu teste la présence de l'hôte distant.
Le fait que l'hôte distant ferme sa session SSH n'intervient pas: ce qui compte est sa présence sur internet. |
| mikala |
|
| conti |
|
| tu m' as décourager d' un coup, j' avais trouvé une bonne occupation pour ce soir :sarcastic: sinon j' utilise deja les clés + passphrase, jamais trop prudent... :D bon d autres avis ? :o |
| void_ppc | tu te fait chier pour rien..
Si tu veut faire "secure" tu met un autre port que celui par défaut (22), et tu n'autorise les logins ssh qu'avec une clé privée + password, ca sera déjà pas mal |
| Bon j' aimerais faire un truc dites moi si c' est réalisable, surement, et vers quoi m' orienter pour que soit pas trop complexe à mettre en place sans etre trop simple non plus sinon c pas marrant :D mais surtout sécurisé :o bon je m' explique j' ai un serveur ssh sur ma passerelle dont j' autorise seulement l' accès à un poste sur mon réseau par default tout est bloqué sur ppp0 pour ssh j' aimerais autoriser l' accès d' une machine distante qui possède une ip dynamique moi je pensais à un truc comme ca, le poste sur le lan qui à l acces ssh relève environ toutes les 30 min un fichier contenant une ip sur un ftp, si l' ip == 0.0.0.0 on fait rien. je suis pas chez moi et j' ai envie de me connecter sur ma passerelle, je modifie l' ip sur le ftp en mettant l' ip du poste ou je me trouve. le script géré par cron qui opère toutes les 30 min relève le fichier et là ip =! de 0.0.0.0 modif d' iptables ----> acces ssh :sol: est ce qu il existe deja ce genre de choses a mon avis oui, je vous ecoutes.. et au niveau de mon idée zen pensez quoi bien ? ou complètement con Ps: biensure qd je suis chez moi je stop le script qui relève l' ip, ca sert a rien. |
