iptables es ddns

 ( kalebris | 2006. június 18., vasárnap - 13:57 )

A problema a kovetkezo:
-munkahelyi halozatot egy linux router ved iptables-el
-a rendszergazda nem engedelyez ip tartomanyt csak 1-1 ip-t de mivel nekem nincs fix ip-m es a szolagltatom szerint nem is lehet ezert megbeszeltem vele, hogy ha kitalalom a mondjat akkor egy ddns-t engedelyez nekem.

Az otletemet, hogy egy percenkent lefuto script megnezi, hogy egy fileban talalhato domainekhez eppen milyen ip tartozik, majd ennek megfeleloen firssiti az iptables-t elvetette, mert ugy az elromolhat.

Mas otletem sajnos nem nagyon van de hatha valaki mar talalkozott ilyen problemaval.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Hello !

Egy lehetoseg:

http://www.no-ip.com/

Udv:
Istvan

azert nem jo, mert reverse-t nem ad a no-ip.com, tehat ha megadod a tuzfalba ez alapjan a host alapjan, akkor a tuzfal nem a domain nevet tarolja, hanem eloszor resolvol, es aztan ip alapjan adja meg a szabalyt. Emiatt csak akkor mukodne, ha a tuzfalat, vagy legabbis az adott szabalyt rendszeres idokozonkent ujra futtatnak, de ez meg kb ugyan az a megoldas, amit a topicindito is mondott. Nem?

VPN talán jobb megoldás. Mellesleg jó szolgáltató lehet az aki nem tud fix ip címet adni. :)

hat az ntl.ie-nel lehet reklamalni:D
felhivtam oket, hogy akkor nekem kell fix ip.
Az elso sales emberke elkuldott a tech. supportra hogy ilyet lehet-e egyalltalan. A tech support tovabbitott a netgear supporthoz, hogy ok majd csinalnak nekem fix ip-t (192.168...) itt feladtam ezt a kort ugyhogy kezdtem megint a salesel hatha egy masik srac majd tudja, hogy mirol beszelek es mintha tudott volna valmit. Majd kozolte, hogy olyat marpedig nem lehet. Hetfon megprobalom megegyszer kicsit tobb turelemmel es felkeszulve a magyarazatra, hogy mi a kulonbseg a globalis es a privat ip cimek kozott.

idezet a faq-bol, most olvastam csak:
"If IP addresses will be assigned dynamically, is there any way to get a static IP address on this service?

At the moment there are no plans to offer static IP's on this service. In practice you will find that the dynamically assigned IP address will remain fairly consistent."

vpn?

Nekem sziplán a következő a megoldás:
cronból percenként lefut a tables script.

üdv

G.

Engem is érdekelne egy működő megoldás. A percenkénti tables restartot szerintem ki lehet váltani egy ötletesebb megoldással, amig nincs valami új feature a tableshez ami automatice megoldja majd ezt a problémát.

Az ötlet mindössze annyi lenne, kell egy scriptet tenni cronba ami DNS csekkolást csinál, az eredményt kinyomja egy fájlba, a következő csekkolásnál csinál egy összehasonlitást, ha ugyanaz az IP akkor pörög tovább minden, ha nem akkor tables restart, igy jo esetben napi 1-2 vagy van ahol 1-2 hónapig (szolgáltatója válogatja) se kell ezmiatt restartolgatni.

Ezen felül ha jól tudom az apache htaccess se szereti a ddns-t. Ez utobbira van valakinek ötlete, hogy lehetne beállitani?

Ettol feltem: vagy script vagy vpn. Hat remelem, hogy sikerul ravennem:).

Hasonló problémával küszködtem jó ideiig, aztán OpenVPN lett a vége.

Ez a cron-os jól megnézi a szerver, hogy a dinamikus dns-ben kotyomfitty.org-hoz még mindíg ugyanaz az IP tartozik-e és ha nem akkor frissíti az iptablest, több sebből vérző megoldásnak tűnik, még ha valaki ki is seggeli, hogy hogyan kéne mennie.

Én azért vetettem el ezt az irányt, mert amennyiben a dinamikus IP-ről jövő "ismert" masina leáll, a következő aktív megjelenésekor frissíti a dinamikus DNS-t újra. Addig pedig a szolgáltatód rég kioszthatta az eddig a szerver által biztonságosnak hitt IP-t és rögvest adtunk a kakinak egy pofont.

Ha valamilyen handshake dolog tudna lenni a szerveren, hogy időnként lecsekkolja, hogy az általa ismert dinamikus IP-n tényleg te vagy-e, akkor esetleg működhetne a dolog.

Egyébként meg igaza van a rendszergazdinak, én sem engedtem be saját magam sem dinamikus IP-ről, mivel nbem tudtam biztonságosan kivitelezni.
Igaz, a kedvedért nem biztos, hogy OpenVPN-t fog csinálni. Bár arra esetleg rávehető gondolom, hogy egy kijelölt portot forwardoljon be, amelyik masinán megcsinálod a VPN szervert és minden OK.
Bár ebben az esetben meg ütött egy lyukat a tűzfalon, amin a forgalmat a te megbízhatóságod garantálja csak.

Üdv,
t

most gyorsba meg egy otlet. egy olyan megoldas, hogy a szerver ip-jere kell kuldeni megadott meretu es szamu csomagot, ha ez megtortent, akkor kinyitja neked a megfelelo portokat, oszt automatice bezarja egy ido utan. szerintem ez igy egesz barati :)