Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1735 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Firewall, TCP wrapper, et IP dynamiques...

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Firewall, TCP wrapper, et IP dynamiques...

n°294106
JBM
Posté le 20-07-2003 à 16:49:21  profilanswer
 

Bonjour,
 
J'ai un serveur sous Linux auquel l'accès est limité à seulement quelques machines sur Internet (filtrage par firewall et xinetd)
Parmi ces machines autorisées, certaines ont une IP fixe : ce qui ne pose pas de problème dans mon script iptables et dans le fichier hosts.allow.
En revanche, d'autres ont une IP dynamique (et un nom chez dyndns.org) et là ça bloque pour le script iptables et le hosts.allow car seule l'IP enregistrée au moment du boot du PC et du lancement de xinetd est prise en compte. Lorsque le client change d'IP, il perd l'accès...
 
Pour le firewall, je compte faire un script qui vérifie l'IP des clients chez dyndns toutes les x minutes et modifie les règles iptables en conséquence en cas de changement.
Pour le hosts.allow, il faudrait utiliser le même principe mais c'est carrément le fichier hosts.allow qu'il faut éditer voire réécrire avec l'ip modifiée.
 
Quelqu'un a t'il déjà mis en place une solution à ce genre de problème ? des scripts ? ou d'autres idées ?
 
Merci d'avance.

mood
Publicité
Posté le 20-07-2003 à 16:49:21  profilanswer
 

n°294124
HuGoBioS
Posté le 20-07-2003 à 17:44:46  profilanswer
 

JBM a écrit :

Bonjour,
 
J'ai un serveur sous Linux auquel l'accès est limité à seulement quelques machines sur Internet (filtrage par firewall et xinetd)
Parmi ces machines autorisées, certaines ont une IP fixe : ce qui ne pose pas de problème dans mon script iptables et dans le fichier hosts.allow.
En revanche, d'autres ont une IP dynamique (et un nom chez dyndns.org) et là ça bloque pour le script iptables et le hosts.allow car seule l'IP enregistrée au moment du boot du PC et du lancement de xinetd est prise en compte. Lorsque le client change d'IP, il perd l'accès...
 
Pour le firewall, je compte faire un script qui vérifie l'IP des clients chez dyndns toutes les x minutes et modifie les règles iptables en conséquence en cas de changement.
Pour le hosts.allow, il faudrait utiliser le même principe mais c'est carrément le fichier hosts.allow qu'il faut éditer voire réécrire avec l'ip modifiée.
 
Quelqu'un a t'il déjà mis en place une solution à ce genre de problème ? des scripts ? ou d'autres idées ?
 
Merci d'avance.

si tu met directe les noms dns ca marche pas ?


Message édité par HuGoBioS le 20-07-2003 à 17:44:56

---------------
-= In Kik00 101 I trust :o =-
n°294125
JBM
Posté le 20-07-2003 à 17:52:11  profilanswer
 

HuGoBioS a écrit :

si tu met directe les noms dns ca marche pas ?


 
non, ça prend en compte l'ip enregistrée à l'instant de l'execution mais comme elle change par la suite, le client n'a plus accès...

n°294130
HuGoBioS
Posté le 20-07-2003 à 18:23:15  profilanswer
 

en fait le pb c'est que la resolution du nom dns ne se fait qu'au lancement du prog et pas durant toute la session...


---------------
-= In Kik00 101 I trust :o =-
n°294149
CSCMEUH
Posté le 20-07-2003 à 19:50:29  profilanswer
 

JBM a écrit :

Bonjour,
 
J'ai un serveur sous Linux auquel l'accès est limité à seulement quelques machines sur Internet (filtrage par firewall et xinetd)
Parmi ces machines autorisées, certaines ont une IP fixe : ce qui ne pose pas de problème dans mon script iptables et dans le fichier hosts.allow.
En revanche, d'autres ont une IP dynamique (et un nom chez dyndns.org) et là ça bloque pour le script iptables et le hosts.allow car seule l'IP enregistrée au moment du boot du PC et du lancement de xinetd est prise en compte. Lorsque le client change d'IP, il perd l'accès...
 
Pour le firewall, je compte faire un script qui vérifie l'IP des clients chez dyndns toutes les x minutes et modifie les règles iptables en conséquence en cas de changement.
Pour le hosts.allow, il faudrait utiliser le même principe mais c'est carrément le fichier hosts.allow qu'il faut éditer voire réécrire avec l'ip modifiée.
 
Quelqu'un a t'il déjà mis en place une solution à ce genre de problème ? des scripts ? ou d'autres idées ?
 
Merci d'avance.


 
Tiens j'ai le meme probleme :)
Pour iptables je n'est pas trouver encore la solution.  
Mais pour xinetd je te propose d'envoyer un signal SIGHUP a xinetd a l'aide de cron

Code :
  1. #killall -HUP xinetd


 
Cela oublige xinetd de relire le fichier de configuration d'apres le man :

   
SIGHUP         causes a hard reconfiguration, which means that xinetd re-reads the configuration file  and  terminates
                      the  servers  for  services  that are no longer available. Access control is performed again on running
                      servers by checking the remote location, access times and server instances. If  the  number  of  server
                      instances  is  lowered,  some arbitrarily picked servers will be killed to satisfy the limit; this will
                      happen after any servers are terminated because of failing the remote location or access  time  checks.
                      Also,  if  the INTERCEPT flag was clear and is set, any running servers for that service will be termi-
                      nated; the purpose of this is to ensure that after a hard reconfiguration  there  will  be  no  running
                      servers that can accept packets from addresses that do not meet the access control criteria.


n°294151
JBM
Posté le 20-07-2003 à 20:01:18  profilanswer
 

Je suis en train de préparer un script pour iptables. Je le poste si ça marche ;)
 
Et pour xinetd, pas besoin de lui envoyer un signal, il prend en compte automatiquement chaque modification dans le fichier hosts.allow

n°294172
JBM
Posté le 20-07-2003 à 23:40:18  profilanswer
 

Voilà, si ça intéresse quelqu'un, j'ai fait un petit script.
Y a plus qu'à tester et améliorer :)
 
Le nom de l'hôte est passé en paramètre. Il faut également un fichier du nom de l'hôte dans /root qui contient son IP.
 

Code :
  1. #!/bin/sh
  3. PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
  4. HOSTNAME="$1"
  5. IPREF=`cat /root/$HOSTNAME`
  7. iptables -D INPUT -j ACCEPT -s $IPREF 2>/dev/null 1>&2
  8. iptables -I INPUT -j ACCEPT -s $IPREF 2>/dev/null 1>&2
  10. while true; do
  11. sleep 300
  12. IP=`host $HOSTNAME | awk '{print $4}'`
  13. if [ "$IPREF" != "$IP" ]; then
  14.         # Mise à jour firewall
  15.         iptables -D INPUT -j ACCEPT -s $IPREF 2>/dev/null 1>&2
  16.         iptables -I INPUT -j ACCEPT -s $IP 2>/dev/null 1>&2
  18.         # Remplacement dans hosts.allow
  19.         sed "s/$IPREF/$IP/g" /etc/hosts.allow >/root/hosts.allow.tmp
  20.         mv -f /root/hosts.allow.tmp /etc/hosts.allow
  22.         echo $IP >/root/$HOSTNAME
  23.         IPREF="$IP"
  24. fi
  25. done

n°294187
deviant
Posté le 21-07-2003 à 05:01:22  profilanswer
 

un petit
 

Code :
  1. if [ ! -e "$1" ] ; then
  2.   echo "$1: No such file or directory"
  3.   exit 1
  4. fi

 
 
au début du script serait mieux.


Message édité par deviant le 21-07-2003 à 05:01:56

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Firewall, TCP wrapper, et IP dynamiques...

 

Sujets relatifs
[RH9] Le screensaver bloque les conections TCP/IP???Comment connecter un cvs derriere un firewall ?
Bad TCP Checksum + PPPOE : spoofing ??empecher l'utilisation de msn messenger sur un firewall
Problème firewall et FTPCoyote floppy firewall : mode d'emploi ?
ftp en mode passif, avec firewall sous openbsd[Firewall] Comprend pas ?!?
[PF] pb de firewall NAT pour mon serveur ftpFireWall
Plus de sujets relatifs à : Firewall, TCP wrapper, et IP dynamiques...

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.044 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR