Защищаю сервер. Задача такая, чтобы не "светить портами" постоянно в Инет завожу пользователя SSH. В качестве шелла ставлю ему скрипт, который добавляет правила, разрешающие подсоединение на порты 80, 110, и тот, что редиректится на терминал "from IP"
Вопроса, собственно, два:
1. Я (user1) зашел по SSH. Как узнать IP, c которого я зашел, для того, чтоб указать его в правилах ipfw (при том что так же могут быть в это время подсоедены user2 и user3)?
2. В случае обрыва канала у user1, естественно, при повторном подключении надо удалить старые правила для user1. Поєтому вопрос второй - можно ли в ipfw add ....... указать комментарий (например имя юзера) для правила, который будет виден по ipfw list?
Заранее благодарю.
>[оверквотинг удален]
>Вопроса, собственно, два:
>1. Я (user1) зашел по SSH. Как узнать IP, c которого я
>зашел, для того, чтоб указать его в правилах ipfw (при том
>что так же могут быть в это время подсоедены user2 и
>user3)?
>2. В случае обрыва канала у user1, естественно, при повторном подключении надо
>удалить старые правила для user1. Поєтому вопрос второй - можно ли
>в ipfw add ....... указать комментарий (например имя юзера) для правила,
>который будет виден по ipfw list?
>Заранее благодарю.ви таки еще больший параноик чем я... я до такого бреда не додумался...
>ви таки еще больший параноик чем я... я до такого бреда не
>додумался...бред, между прочим, двигает прогресс и не дает застояться мозгам :-)
А юникс системы тем и отличаются от винды, что админ делает то, что хочет и то, что ему надо, а не то, что позволяет система и навороты сторонних программжду предложения?
>>ви таки еще больший параноик чем я... я до такого бреда не
>>додумался...
>
>бред, между прочим, двигает прогресс и не дает застояться мозгам :-)
>А юникс системы тем и отличаются от винды, что админ делает то,
>что хочет и то, что ему надо, а не то, что
>позволяет система и навороты сторонних программ
>
>жду предложения?Бред ничего никуда не двигает. Он носит деструктивный характер, разрушает те ценности что уже есть и дает ложное направления для дальнейшей работы.
предложение же такое: ликвидировать системную ошибку в ваших рассуждениях.
в настоящий момент описанная вами схема предполагает получение доступа к серверу по защищенному каналу через ssh, и "включение" незащищенных портов для указанного адреса.. который может находится за проксей например... То есть создавать уязвимость в рамках вашей концепции. С другой стороны, человек уже зашедший по ssh может воспользоватся всем комплексом сервисов (80, 110 и любые иные) через проброс портов по уже установленному каналу. то есть налицо системное недомыслие.. или попросту глупость.
Позвольте с Вами не согласиться.Когда-то считалась бредом мысль о том, что Земля вращается вокруг Солнца
Когда-то считалась бредом мысль о том, что Земля не плоская
Теорию относительности Эйнштейна тоже когда-то считали бредом шизофреника
и .т.п.Любая мысль, идея, или теория имеет право на существование.
Ну это так, лир. отступление.А задача такая - есть сервер, на котором крутится почта для локалки, сквид, и в локалке терминальный сервер. Задача - с нотиков, подключенных к инету через мобильник или диалап обеспечить юзерам работу максимально приближенную к условиям локалки и максимально простым методом. Включение портов происходит на время работы клиента, по его выходу все будет отключаться либо им вручную, либо автоматически по счетчику, который считает потоки с IP-шника юзера раз в 10 минут и отлавливает момент, когда за 2 минуты не переслано ни одного байта.
Для одного пользователя это уже давно мной сделано. Задача стала как "разрулить" нескольких. Или Вы предлагаете терминал, например, открыть в мир?
>Для одного пользователя это уже давно мной сделано. Задача стала как "разрулить"
>нескольких. Или Вы предлагаете терминал, например, открыть в мир?подключившись по ssh через putty например, пользователь может получить по этому каналу доступ ко всем все необходимым портам.
называется проброс портов.. или форвард портов (с удаленной машины на локальную)
>подключившись по ssh через putty например, пользователь может получить по этому каналу
>доступ ко всем все необходимым портам.
>называется проброс портов.. или форвард портов (с удаленной машины на локальную)Спасибо за идею, я попробую это тоже реализовать.
Все познается в сравнении.
>>подключившись по ssh через putty например, пользователь может получить по этому каналу
>>доступ ко всем все необходимым портам.
>>называется проброс портов.. или форвард портов (с удаленной машины на локальную)Я, честно говоря, не знал о такой возможности SSH. Поистине, любую задачу можно решить разными путями, и Unix мне снова и снова нравится все больше.
Попробую разобраться с пробросом портов для SSH-сессии.
Конечно, ИП + ЛОГИН ПАРОЛЬ. Не совсем понятно "максимально приближенную к условиям локалки и максимально" может им просто нужно дать доступ к файлам? Поднимите VPN.
>Для одного пользователя это уже давно мной сделано. Задача стала как "разрулить"
>нескольких.Разве VPN не для этого был придуман?
>>ви таки еще больший параноик чем я... я до такого бреда не
>>додумался...
>
>бред, между прочим, двигает прогресс и не дает застояться мозгам :-)
>А юникс системы тем и отличаются от винды, что админ делает то,
>что хочет и то, что ему надо, а не то, что
>позволяет система и навороты сторонних программ
>
>жду предложения?дык - в переменных окружения посмотреть.
IP клиента точно там есть.
> 2. В случае обрыва канала у user1, естественно, при повторном подключении надо удалить > старые правила для user1. Поєтому вопрос второй - можно ли в ipfw add ....... указать > > комментарий (например имя юзера) для правила, который будет виден по ipfw list?Можно. Читаем маны.
А вообще все это бред собачий!
>> 2. В случае обрыва канала у user1, естественно, при повторном подключении надо удалить > старые правила для user1. Поєтому вопрос второй - можно ли в ipfw add ....... указать > > комментарий (например имя юзера) для правила, который будет виден по ipfw list?
>
>Можно. Читаем маны.
>А вообще все это бред собачий!Ну почему сразу "бред". Экзотические решения тем и хороши, что при продуманном исполнении заставляют и ломающую сторону наморщить мозг - просто в силу отстутсвия готового решения.
Ну а по теме могу посоветовать посмотреть в сторону port knock. Суть та-же.
>Ну почему сразу "бред". Экзотические решения тем и хороши, что при продуманном
>исполнении заставляют и ломающую сторону наморщить мозг - просто в силу
>отстутсвия готового решения.
>
>Ну а по теме могу посоветовать посмотреть в сторону port knock. Суть
>та-же.Спасибо за понимание...