ssh + ip dynamique

ssh + ip dynamique - Linux et OS Alternatifs

Marsh Posté le 22-12-2003 à 19:02:03    

Bon j' aimerais faire un truc dites moi si c' est réalisable, surement, et vers quoi m' orienter pour que soit pas trop complexe à mettre en place sans etre trop simple non plus sinon c pas marrant  :D mais surtout sécurisé  :o  
 
bon je m' explique j' ai un serveur ssh sur ma passerelle dont j' autorise seulement l' accès à un poste sur mon réseau
 
par default tout est bloqué sur ppp0 pour ssh
j' aimerais autoriser l' accès d' une machine distante qui possède une ip dynamique
moi je pensais à un truc comme ca, le poste sur le lan qui à l acces ssh relève environ toutes les 30 min un fichier contenant une ip sur un ftp, si l' ip == 0.0.0.0 on fait rien.
je suis pas chez moi et j' ai envie de me connecter sur ma passerelle, je modifie l' ip sur le ftp en mettant l' ip du poste ou je me trouve.
le script géré par cron qui opère toutes les 30 min relève le fichier et là
ip =! de 0.0.0.0 modif d' iptables ----> acces ssh  :sol:  
 
est ce qu il existe deja ce genre de choses a mon avis oui, je vous ecoutes..
et au niveau de mon idée zen pensez quoi bien ? ou complètement con
 
Ps: biensure qd je suis chez moi je stop le script qui relève l' ip, ca sert a rien.

Reply

Marsh Posté le 22-12-2003 à 19:02:03   

Reply

Marsh Posté le 22-12-2003 à 19:14:33    

tu te fait chier pour rien..
 
Si tu veut faire "secure" tu met un autre port que celui par défaut (22), et tu n'autorise les logins ssh qu'avec une clé privée + password, ca sera déjà pas mal


Message édité par void_ppc le 22-12-2003 à 19:14:54
Reply

Marsh Posté le 22-12-2003 à 19:31:47    

tu m' as décourager d' un coup, j' avais trouvé une bonne occupation pour ce soir   :sarcastic:  
 
sinon j' utilise deja les clés + passphrase, jamais trop prudent...  :D  
bon d autres avis ?  :o

Reply

Marsh Posté le 22-12-2003 à 20:06:24    

Ekxon a écrit :

tu m' as décourager d' un coup, j' avais trouvé une bonne occupation pour ce soir   :sarcastic:  
 
sinon j' utilise deja les clés + passphrase, jamais trop prudent...  :D  
bon d autres avis ?  :o  


 
J'ai monté un truc dans le genre pour un pote. Cependant, la méthode est différente:
- l'ordinateur distant de mon pote utilise dyndns.
- périodiquement, je résoud l'IP du hostname sous dyndns.
- dès que l'IP change, je modifie la règle du firewall.
- si l'hote se déconnecte, l'accès est immédiatement fermé.
Le shell est blindé dans tous les sens niveau sécurité, et tourne sur OpenBSD (pas d'iptables donc, mais une table dynamique d'ip gérée avec pfctl).

Reply

Marsh Posté le 22-12-2003 à 20:21:28    

conti a écrit :


- si l'hote se déconnecte, l'accès est immédiatement fermé.


tu pourrais juste détaillé ce point ?
c'est a dire si par exemple , il se déco du ssh pour se reconnecter (on sait jamais un exit mis au hasard ) il trouvera porte close ? c'est un peu limité non ?

Reply

Marsh Posté le 22-12-2003 à 20:26:21    

Si l'hôte se déconnecte (d'internet, pas de SSH), tu n'arrives plus à pinger l'hôte distant, que ce soit par sa dernière IP ou par son hostname dyndns. A partir de ce moment, tu vires l'IP des règles du firewall: tu coupes l'accès, et ce jusqu'à ce que le hostname dyndns réapparaisse. La "réactivité" du système dépend de la fréquence à laquelle tu teste la présence de l'hôte distant.
Le fait que l'hôte distant ferme sa session SSH n'intervient pas:  ce qui compte est sa présence sur internet.


Message édité par conti le 22-12-2003 à 20:26:44
Reply

Marsh Posté le 22-12-2003 à 20:29:10    

oki donc c'est bien ce que je pensais .
j'avais cru comprendre que tu parlais de ssh & je trouvais alors cela stupide :p
ceci dit tester la présence sur un ping est ma fois limite :
si pour une raison x l'imcp est filtré comme un porc par un goret cela merde la .
enfin c'est mieux que rien ( & vive l'ip fixe il n'y a pas a dire que c'est le _bien_ n'en déplaise aux parano :D )


Message édité par mikala le 22-12-2003 à 20:31:10
Reply

Marsh Posté le 22-12-2003 à 20:30:34    

Mikala a écrit :

oki donc c'est bien ce que je pensais .
j'avais cru comprendre que tu parlais de ssh & je trouvais alors cela stupide :p


 
Ah mais je vais pas de truc stupide moi!  :whistle:

Reply

Marsh Posté le 22-12-2003 à 20:32:52    

t'es sous openbsd [:spamafote]
(c'était surtout pour voir l'édit plus haut en fait :D )

Reply

Marsh Posté le 22-12-2003 à 20:40:26    

ouai d' accord comme ca en effet ce serait plus simple mais  disons que je peux pas utiliser dyndns ou autre j' ai seulement une ip je suis obligé d' intervenir moi meme
quelque part pour ouvrir l acces enfin d' une facon ou d' une autre je peux pas prevoir.

Reply

Marsh Posté le 22-12-2003 à 20:40:26   

Reply

Marsh Posté le 22-12-2003 à 20:40:33    

Yep. T'as raison. J'ai regardé mon shell (qui date), et effectivement, y'a pas de ping. Le shell fait 4ko, vérifie la conformité de l'IP résolue sur le hostname dyndns, vérifie que cette IP appartient bien au provider habituel de l'hôte distant, loggue les changements d'IP, et impose une limite au nb de changement d'IP de l'hôte distant.
Mais comme tu le dis, Mikala, RIEN NE VAUT UNE IP FIXE! Le mieux étant encore de monter un VPN entre 2 IP fixes. Là, c'est du béton.

Reply

Marsh Posté le 22-12-2003 à 20:42:40    

Ekxon a écrit :

ouai d' accord comme ca en effet ce serait plus simple mais  disons que je peux pas utiliser dyndns ou autre j' ai seulement une ip je suis obligé d' intervenir moi meme
quelque part pour ouvrir l acces enfin d' une facon ou d' une autre je peux pas prevoir.
 


 
Et pourquoi tu pourrai pas utiliser dyndns? Ce "paliatif" à l'IP fixe peut parfois servir, même si en lui-même, ce système est pas trop sécurisé.

Reply

Marsh Posté le 22-12-2003 à 20:42:40    

et tant qu'à faire tu le fait en ipv6, vu le peu de monde pour le moment t'es encore + tranquille :D

Reply

Marsh Posté le 22-12-2003 à 20:45:11    

void_ppc a écrit :

et tant qu'à faire tu le fait en ipv6, vu le peu de monde pour le moment t'es encore + tranquille :D


 
 ;) Tout le monde est pas chez Nerim...  :lol:

Reply

Marsh Posté le 22-12-2003 à 20:45:34    

conti a écrit :


 
 ;) Tout le monde est pas chez Nerim...  :lol:  


 
 :D

Reply

Marsh Posté le 22-12-2003 à 20:45:44    

un vpn en ipv6 ? :D

Reply

Marsh Posté le 22-12-2003 à 20:46:24    

Mikala a écrit :

un vpn en ipv6 ? :D


 
yep.

Reply

Marsh Posté le 22-12-2003 à 20:46:57    

void_ppc a écrit :

et tant qu'à faire tu le fait en ipv6, vu le peu de monde pour le moment t'es encore + tranquille :D


il y a au moins  400 hackeurs potentiels :o
http://stats.nerim.net/nav/files/ipv6/connected-day.png

Reply

Marsh Posté le 22-12-2003 à 20:47:00    

Mikala a écrit :

un vpn en ipv6 ? :D


 
Mouais, un VPN en ipv6 dynamique! V'là le programme!  :D

Reply

Marsh Posté le 22-12-2003 à 20:47:43    


 
Mouais, et en plus c'est des méchants ceux-là!!!  :D

Reply

Marsh Posté le 22-12-2003 à 20:48:08    

conti a écrit :


 
Mouais, un VPN en ipv6 dynamique! V'là le programme!  :D  


ipv6 dynamique  ?
tu as un XP derriere avec sa pseudo ip anonyme ? [:rofl]

Reply

Marsh Posté le 22-12-2003 à 20:49:16    

en même temps avec le bloc d'adresse v6 dispo y a moyen d'en prendre une de derrière les fagots (securité par l'obscurité powa)

Reply

Marsh Posté le 22-12-2003 à 20:49:31    

conti a écrit :


 
 
Et pourquoi tu pourrai pas utiliser dyndns? Ce "paliatif" à l'IP fixe peut parfois servir, même si en lui-même, ce système est pas trop sécurisé.


oui tu as raison rien ne m' empeche d' utiliser dydns, c' est juste que ca m' interresse de comprendre comment procéder au mieux dans ce cas là .

Reply

Marsh Posté le 22-12-2003 à 20:49:53    

2^80 :D

Reply

Marsh Posté le 22-12-2003 à 20:50:59    

Ekxon a écrit :


oui tu as raison rien ne m' empeche d' utiliser dydns, c' est juste que ca m' interresse de comprendre comment procéder au mieux dans ce cas là .


c'est le mieux dans ton cas [:spamafote]
(en partant du principe que le dyndns ne décide pas de merder a un moment & qu'un hackeur se retrouve avec l'ip correspond au dyndns  :sol:

Reply

Marsh Posté le 22-12-2003 à 20:51:00    

Mikala a écrit :


ipv6 dynamique  ?
tu as un XP derriere avec sa pseudo ip anonyme ? [:rofl]


 
C'est une IPv6 alternative, et non pas fixe!
Bon, on s'égard. Il est où le monsieur avec sa question?

Reply

Marsh Posté le 22-12-2003 à 20:52:30    

Mikala a écrit :


c'est le mieux dans ton cas [:spamafote]
(en partant du principe que le dyndns ne décide pas de merder a un moment & qu'un hackeur se retrouve avec l'ip correspond au dyndns  :sol:  


 
Mouais, j'ai pas trop confiance dans dyndns. C'est pour ça que mon shell vérifie au moins que l'IP renvoyée par une résolution du hostname appartient à l'ISP de mon pote... Rhâ! Plus d'un an que j'essaie de le faire passer chez Nerim celui-là!  :lol:

Reply

Marsh Posté le 22-12-2003 à 20:52:42    

conti a écrit :


 
C'est une IPv6 alternative, et non pas fixe!
Bon, on s'égard. Il est où le monsieur avec sa question?


 
ne pas répondre...ne pas répondre..

Reply

Marsh Posté le 22-12-2003 à 20:54:10    

void_ppc a écrit :


 
ne pas répondre...ne pas répondre..


 :o  
désolé je suis pas très rapide

Reply

Marsh Posté le 22-12-2003 à 20:55:35    

Ekxon a écrit :


 :o  
désolé je suis pas très rapide  


 
je pensais à autre chose  :ange:

Reply

Marsh Posté le 22-12-2003 à 20:56:35    

void_ppc a écrit :


 
je pensais à autre chose  :ange:  


je vois pas c'était quoi ?  :whistle:

Reply

Marsh Posté le 23-12-2003 à 09:26:50    

DTCCCCCCCCCCCCCCCC


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 23-12-2003 à 09:27:07    

voila c'est fait, de rien, c'est naturel


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 24-12-2003 à 02:23:19    

Bonsoir à vous,
 
Juste pour vous remercier les pros. Si si !
 
En effet, je viens de tester et d'adopter ez-ipupdate avec dyndns. Qu'est-ce que cela va me rendre service ce truc pour administrer à distance par ssh et webmin les amis (et la famille convertie presque de force) pour lesquels j'ai installé GNU/Linux. Je vais tous leur faire utiliser dyndns.
 
Jusqu'alors, j'avais pensé à un truc du genre /sbin/ifconfig ppp0 | grep inet | cut -d ":" -f 2 | cut -d " " -f 1 puis mail régulier, mais je me disais que cela ferait bien lourd.
 
Tandis qu'avec ez-ipupdate, c'est simplissime.
 
Et puis le script ez-ipupdate modifié, me sert aussi pour appeler le script iptables (engendré avec Guarddog) après chaque changement d'ip par le fai.
 
En effet, en connexion internet par pppd sous Mdk 9.2 (aDSL pppoa), les scripts placés dans /etc/ppp/if-up.d ou dans /etc/sysconfig/network-scripts/ifup.d ne sont bizarrement pas lancés lors de changement d'ip.
Les scripts à ces emplacements ne sont, semble-t-il, efficaces que pour un lancement des interfaces réseau autres que pppx.
 
Enfin, je suis ravi.

Reply

Marsh Posté le 24-12-2003 à 02:26:50    

le fichier ip-up (ou if-up ) entraine bien l'execution du repertoire ad hoc ?
sur ma debian que j'ai en passerrelle j'ai ainsi cela dedans


run-parts /etc/ppp/ip-up.d


 


---------------
Intermittent du GNU
Reply

Marsh Posté le 24-12-2003 à 02:34:19    

mikala a écrit :

le fichier ip-up (ou if-up ) entraine bien l'execution du repertoire ad hoc ?
sur ma debian que j'ai en passerrelle j'ai ainsi cela dedans


run-parts /etc/ppp/ip-up.d


 
 


 
Quant j'aurai un peu de temps, je vais regarder de près l'enchaînement des scripts sur Mandrake. Et pour moi, ce n'est pas toujours évident :) Mais je ne désespère pas de comprendre.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed