Hallo,
ich habe 2 Server, die über ein VPN über das Internet verbunden sind. Beide stehen jeweils hinter einem Router, der die Verbindung zum Internet herstellt. Über PortForwarding wird der VPN Verbindungsaufbau bewerkstelligt. Auf beiden Servern läuft eine Firewall, mit der ich nun sicherstellen will, das nur der andere Server eine Verbindung herstellen kann. Da ich bei beiden Routern/Internet wechelnde IP Adressen hab, lässt sich die IP Adresse schwer als Kriterium verwenden. Mac Adressen gehen über das Internet ja auch nicht, oder werden zumindest von den vorgelagtern Routern ersetzt.
Was für weitere Möglichkeiten gibt es, zu erkennen, das Packete von einem bestimmten Rechner abgeschickt werden? (Für den Fall, dass jemand den VPN Key doch irgendwie bekommen sollte).
Habe schon an das CLASSIFY, TOS, MARK Target gedacht..Habt ihr evtl. weitere Tipps, mit der Firewall IP Packete zu markieren und auf dem anderen Server nur solche Packete anzunehmen?
Danke für eure Hilfe
IP-Packet-Herkunft über Markierungen bestimmen
-
mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Ich habe in dieser Richtung mal etwas mit DynDNS und einem kleinen Script gemacht: das Script hat jede Minute via cron geschaut, ob sich die IP-Adresse einer der "bekannten" DynDNS-Adressen geändert hat und führte bei einer Änderung mein Firewall-Script neu aus (in dem die entsprechenden Regeln mit DNS-Namen stehen):
http://nopaste.debianforum.de/7667
Wenn sich die IP-Adresse geändert kann, kann es natürlich insgesamt 2-3 Minuten dauern, bis alles wieder durchgenudelt ist, also ist beispielsweise eine kontrollierte 24h-Zwangstrennung in der Nacht sinnvoll.
Vielleicht kannst Du es ja gebrauchen.
Gruss, mistersixt.
http://nopaste.debianforum.de/7667
Wenn sich die IP-Adresse geändert kann, kann es natürlich insgesamt 2-3 Minuten dauern, bis alles wieder durchgenudelt ist, also ist beispielsweise eine kontrollierte 24h-Zwangstrennung in der Nacht sinnvoll.
Vielleicht kannst Du es ja gebrauchen.
Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
-
mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Der löst die beim Ausführen aus, aber anschliessend ist die Regel - dann mit IP-Adresse - natürlich statisch, daher der Umweg über das Script, um die Regeln/IP-Adressen quasi "aktuell zu halten".
Gruss, mistersixt.
Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE