Sinnvoll wäre die Möglichkeit anstelle von IP-Adressen und -Netzen ebenso Netzwerkobjekte mit dem FQDN anlegen zu können. Dann kann man auf dem Portfilter auch entsprechende Regeln hinterlegen.
Wie sind die Realisierungschancen?
Hostobjekte auch mit FQDN
Moderator: Securepoint
Schlecht. Diese Hostnamen müssten in regelmäßigen Abständen neu aufgelöst und bei Änderung ein Regelupdate ausgeführt werden. Sind da mal Nameserver nicht erreichbar, reagiert die Firewall für X Sekunden nicht mehr.
Desweiteren hätte ich da auch Sicherheitsbedenken bezüglich Firewallregeln, die Sie für dynamische IP-Addressen anlegen.
Desweiteren hätte ich da auch Sicherheitsbedenken bezüglich Firewallregeln, die Sie für dynamische IP-Addressen anlegen.
Es müsste genau genommen bei jeder Anwendung der Regel gegen DNS geprüft werden. Es ist allerdings oft extrem hilfreich, wenn man z.B. spezielle Regeln für bestimmte Sites z.B. "*.google.de" oder ähnliches einrichten möchte, denn der statische Eintrag einzelner IPs ist in diesem Falle nicht besonders sinnvoll.
Wenn der DNS nicht zuckt, dann kann ich i.A. eh nicht auf die Seite zugreifen.
Wenn der DNS nicht zuckt, dann kann ich i.A. eh nicht auf die Seite zugreifen.
iptables bietet diese Möglichkeit, daher sollte es auch implementiert werden. Einziger Hacken dabei: iptables block nicht wirklich den hostname (dass können nur proxys), sondern erstellt regeln für alle IPs, die beim erstellen der Regel aufgelöst wurden. Das Regelwerk müsste also ab und zu aktualisiert werden, damit eventuell neue DNS-Einträge mit berücksichtigt werden.
Beispiel:Specifying Source and Destination IP Addresses
Source (`-s', `--source' or `--src') and destination (`-d', `--destination' or `--dst') IP addresses can be specified in four ways. The most common way is to use the full name, such as `localhost' or `www.linuxhq.com'. The second way is to specify the IP address such as `127.0.0.1'.
Code: Alles auswählen
sudo iptables -A FORWARD -d google.de -j ACCEPT
sudo iptables -vnL FORWARD
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 74.125.43.99
0 0 ACCEPT all -- * * 0.0.0.0/0 74.125.43.103
0 0 ACCEPT all -- * * 0.0.0.0/0 74.125.43.104
0 0 ACCEPT all -- * * 0.0.0.0/0 74.125.43.105
0 0 ACCEPT all -- * * 0.0.0.0/0 74.125.43.106
0 0 ACCEPT all -- * * 0.0.0.0/0 74.125.43.147
Naja, es gibt da verschiedene Dinge zu beachten. Wenn es so einfach wäre hätten wir es bereits implementiert.
- Was passiert wenn "Ab und zu ein Regelupdate" läuft, aber auch nur ein Host nicht aufgelöst werden kann. Dann wird das Regelwerk zur hälft neu geschrieben. In der zwischenzeit wird aber der andere Traffic blockiert da die Auflösung eines Hosts bis zu 90sec dauern kann.
- Wie oft sollte das passieren.
- Was passiert bei Tippfehlern wird die Regel dann übersprungen und bei der nächsten weitergemacht
- Mit DNS kann so ein Regelupdate gerne mal x Minuten dauern
- Was passiert wenn "Ab und zu ein Regelupdate" läuft, aber auch nur ein Host nicht aufgelöst werden kann. Dann wird das Regelwerk zur hälft neu geschrieben. In der zwischenzeit wird aber der andere Traffic blockiert da die Auflösung eines Hosts bis zu 90sec dauern kann.
- Wie oft sollte das passieren.
- Was passiert bei Tippfehlern wird die Regel dann übersprungen und bei der nächsten weitergemacht
- Mit DNS kann so ein Regelupdate gerne mal x Minuten dauern
There are 10 types of people in the world... those who understand binary and those who don\'t.