iptables névfeloldás!

A feloldás azonnal megtörténik, pont úgy mint ha kiadnád a ping parancsot a domainra. A gyakoriság meg a nameszerveredtől függ. Iptables lekérdezi a nameszervert és aztán bírál, mivel IP után birál.

[quote:348b2ab739="supageo"]Hali
Van egy kérdésem:

iptables -A INPUT -s hostom.dydns.org -j ACCEPT

Ugye domain neveket is meg lehet adni, de mikor történik meg a feloldás? Amikor kiadom a parancsot, vagy menet közben is lekérdezi(tapasztalatból úgy tűnik igen)?
Hogy lehet a lekérdezések gyakoriságát állítani?

Én anno domini ezt a ppp ip-up scriptből pakoltattam bele, az meg alapból megkapja a kapott dinamikus ip-t, és pont akkor fut, amikor feljött a kapcsolat.

[quote:6a5d142f6d="supageo"]
iptables -A INPUT -s hostom.dydns.org -j ACCEPT

[quote:6a5d142f6d="man iptables"]
-s, --source [!] address[/mask]
Source specification. Address can be either a network name, a
hostname (please note that specifying any name to be resolved
with a remote query such as DNS is a really bad idea), a network
IP address (with /mask), or a plain IP address. The mask can be
either a network mask or a plain number, specifying the number
of 1's at the left side of the network mask. Thus, a mask of 24
is equivalent to 255.255.255.0. A "!" argument before the
address specification inverts the sense of the address. The flag
--src is an alias for this option.

Akkor oldodik fel amikor kiadod, es utana mar sosem.
- egy domain nevhez tartozhat tobb A rekord:
[code:1:6a5d142f6d]
asd@borg:~$ host yahoo.com
yahoo.com has address 216.109.112.135
yahoo.com has address 66.94.234.13[/code:1:6a5d142f6d]

- betoltese lassu, es esetleges (!) mert egy kulso szerverre (esetleg szerverek tucatjaira) hagyatkozol, ami biztonsagi szempontbol nonszensz
- az ipcim valtozhat, de a reg feloldott hostnevhez meg a regi tartozik
- dns spoofinggal tamadhato
- stb

Tessek szepen manualt olvasni!
asd

Tökéletesen igazad van és tisztában vagyok az alúlírottakkal. A válaszom csak azért volt egyszerübb mert a probléma is egyszerünek tünt, nem volt szó sehol dinamikus névfeloldásról. Habár gondolhattam volna, hogy biztosan arra kell.

Szép napot és kösz a figyelmeztetést

[quote:074c83b681="asd"][quote:074c83b681="supageo"]
iptables -A INPUT -s hostom.dydns.org -j ACCEPT

[quote:074c83b681="man iptables"]
-s, --source [!] address[/mask]
Source specification. Address can be either a network name, a
hostname (please note that specifying any name to be resolved
with a remote query such as DNS is a really bad idea), a network
IP address (with /mask), or a plain IP address. The mask can be
either a network mask or a plain number, specifying the number
of 1's at the left side of the network mask. Thus, a mask of 24
is equivalent to 255.255.255.0. A "!" argument before the
address specification inverts the sense of the address. The flag
--src is an alias for this option.

Akkor oldodik fel amikor kiadod, es utana mar sosem.
- egy domain nevhez tartozhat tobb A rekord:
[code:1:074c83b681]
asd@borg:~$ host yahoo.com
yahoo.com has address 216.109.112.135
yahoo.com has address 66.94.234.13[/code:1:074c83b681]

- betoltese lassu, es esetleges (!) mert egy kulso szerverre (esetleg szerverek tucatjaira) hagyatkozol, ami biztonsagi szempontbol nonszensz
- az ipcim valtozhat, de a reg feloldott hostnevhez meg a regi tartozik
- dns spoofinggal tamadhato
- stb

Tessek szepen manualt olvasni!
asd

:wink:

[quote:afe202e11c="supageo"]A lényeg még mindig az, hogy mikor és hogy történik meg az iptables hoszt neveinek feloldása?

Amikor begepeled.

[quote:9e52982eef="supageo"]Hali, eddig a te véleményed tetszett a legjobban, mivel szerintem is nem az örökkévalóságnak szól az, ha kiadom a parancsot és megtörténik a lekérdezés.
Picit tudnál erről bővebben mondani valamit, hogy ez mitől függ? (google-val nem lelek rá)
Pl nekem az adott gépen van egy DNS szerverem, annak kell valahogyan megmondanom, hogy minden általa begyüjtött IP cím 15 percenként érvényüket vesztsék vagy valami hasonló?...

Tanacsos lenne pl elolvasni a DNS howtot, vagy valami hasonlot.
csak hogy lasd, mivel szophatsz:
www.origo.hu ip cimet kerdezed le (es mondjuk nalad van a nevszerver ahogy emlitetted) akkor a kovetkezo fog tortenni (minden pont egy-egy hibaforras):
- a nevszerver megkerdezi a root-ns-eket(.), ki a .hu. ns-e
- megkerdezi a .hu. ns-et ki az .origo.hu. nse
- megkerdezi az .origo.hu.-t arrol hogy ki a www (vagy a ns-e).
Itt van legalabb harom pont ahol megallhat a feloldas, de mondjuk pl az is elofordulhat hogy nem megy a nevszerver, nincs halozati kapcsolat es meg ezer dolog. Tuzfal ne fuggjon (!) sose (!) masik geptol!

Rosszul irtam elobb, valamelyik pont az akart lenni, hogy egy domain nevhez tartozhat tobb A rekord (tobb ip cim) es abbol csak egyet (!) fog az iptables beszurni a szabalylancba.

Tessek szepen ip cimeket hasznalni.

asd