Próbuję skonfigurować zaporę ogniową dla jednego z systemów GNU / Linux. AFAIK iptables
i jego podobni użytkownicy nie mogą używać nazw FQDN w swojej konfiguracji, ponieważ oczekuje się, że będą działać przed skonfigurowaniem interfejsu sieciowego i przed uzyskaniem dostępu do DNS.
Jednak z mojego doświadczenia z CentOS, znam przynajmniej jednego rozwiązania: apf
. Nie mogę jednak sprawić, by działał poprawnie pod Arch Linux. ( iptables -nvL
daje czysty wynik; nic podobnego do tego, co otrzymuję, wykonując to samo polecenie na naszych serwerach programistycznych).
Zastanawiam się, czy jest tu ktoś, kto zdążył apf
pracować na Arch Linux, albo zna inny frontend zapory lub inną zaporę ogniową, która może współpracować z FQDN w swoich regułach.
Należy pamiętać, że docelowe nazwy FQDN pochodzą z dynamicznych usług DNS, takich jak DynDNS . Chciałbym wiedzieć, czy istnieje sposób, aby zapora firewall przeprowadzała wyszukiwanie DNS, w sposób (tak myślę) apf
.
Odwrotne wyszukiwania DNS (które, AFAIK, dzieje się, gdy umieszczona jest nazwa FQDN /etc/hosts.allow
i nie można jej znaleźć /etc/hosts
) nie działają w tym przypadku, ponieważ na przykład mój adres IP nie zostanie rozstrzygnięty na nazwę FQDN DynDNS.
(Proszę również powiedzieć, czy lepiej jest to zadać na ServerFault).
źródło
Zgodnie z sugestią Darrena, napisałem skrypt powłoki, który wyszukuje adres IP, a następnie dostosowuje reguły zapory w razie potrzeby (i, w razie potrzeby, miałem na myśli usunięcie wszystkiego z wcześniejszego i zastąpienie właściwym adresem IP). Oto skrypt:
Oczywiście nie zamierzałem wydawać na to więcej niż wymagana liczba komórek mózgowych. Zostało to przetestowane i gwarantuje działanie dla mnie (tm). Odbywa się to
cron
co 15 minut.Kolejna (równie oczywista) uwaga: skończyłem
ufw
z zarządzaniemiptables
regułami (jak powiedziałem, minimalną liczbą komórek mózgowych).źródło