Bon j' aimerais faire un truc dites moi si c' est réalisable, surement, et vers quoi m' orienter pour que soit pas trop complexe à mettre en place sans etre trop simple non plus sinon c pas marrant   mais surtout sécurisé    
 
bon je m' explique j' ai un serveur ssh sur ma passerelle dont j' autorise seulement l' accès à un poste sur mon réseau
 
par default tout est bloqué sur ppp0 pour ssh
j' aimerais autoriser l' accès d' une machine distante qui possède une ip dynamique
moi je pensais à un truc comme ca, le poste sur le lan qui à l acces ssh relève environ toutes les 30 min un fichier contenant une ip sur un ftp, si l' ip == 0.0.0.0 on fait rien.
je suis pas chez moi et j' ai envie de me connecter sur ma passerelle, je modifie l' ip sur le ftp en mettant l' ip du poste ou je me trouve.
le script géré par cron qui opère toutes les 30 min relève le fichier et là
ip =! de 0.0.0.0 modif d' iptables ----> acces ssh    
 
est ce qu il existe deja ce genre de choses a mon avis oui, je vous ecoutes..
et au niveau de mon idée zen pensez quoi bien ? ou complètement con
 
Ps: biensure qd je suis chez moi je stop le script qui relève l' ip, ca sert a rien.

tu te fait chier pour rien..
 
Si tu veut faire "secure" tu met un autre port que celui par défaut (22), et tu n'autorise les logins ssh qu'avec une clé privée + password, ca sera déjà pas mal

tu m' as décourager d' un coup, j' avais trouvé une bonne occupation pour ce soir    
 
sinon j' utilise deja les clés + passphrase, jamais trop prudent...    
bon d autres avis ?  

 
J'ai monté un truc dans le genre pour un pote. Cependant, la méthode est différente:
- l'ordinateur distant de mon pote utilise dyndns.
- périodiquement, je résoud l'IP du hostname sous dyndns.
- dès que l'IP change, je modifie la règle du firewall.
- si l'hote se déconnecte, l'accès est immédiatement fermé.
Le shell est blindé dans tous les sens niveau sécurité, et tourne sur OpenBSD (pas d'iptables donc, mais une table dynamique d'ip gérée avec pfctl).

tu pourrais juste détaillé ce point ?
c'est a dire si par exemple , il se déco du ssh pour se reconnecter (on sait jamais un exit mis au hasard ) il trouvera porte close ? c'est un peu limité non ?

Si l'hôte se déconnecte (d'internet, pas de SSH), tu n'arrives plus à pinger l'hôte distant, que ce soit par sa dernière IP ou par son hostname dyndns. A partir de ce moment, tu vires l'IP des règles du firewall: tu coupes l'accès, et ce jusqu'à ce que le hostname dyndns réapparaisse. La "réactivité" du système dépend de la fréquence à laquelle tu teste la présence de l'hôte distant.
Le fait que l'hôte distant ferme sa session SSH n'intervient pas:  ce qui compte est sa présence sur internet.

oki donc c'est bien ce que je pensais .
j'avais cru comprendre que tu parlais de ssh & je trouvais alors cela stupide
ceci dit tester la présence sur un ping est ma fois limite :
si pour une raison x l'imcp est filtré comme un porc par un goret cela merde la .
enfin c'est mieux que rien ( & vive l'ip fixe il n'y a pas a dire que c'est le _bien_ n'en déplaise aux parano )

 
Ah mais je vais pas de truc stupide moi!  

t'es sous openbsd
(c'était surtout pour voir l'édit plus haut en fait )

ouai d' accord comme ca en effet ce serait plus simple mais  disons que je peux pas utiliser dyndns ou autre j' ai seulement une ip je suis obligé d' intervenir moi meme
quelque part pour ouvrir l acces enfin d' une facon ou d' une autre je peux pas prevoir.

Yep. T'as raison. J'ai regardé mon shell (qui date), et effectivement, y'a pas de ping. Le shell fait 4ko, vérifie la conformité de l'IP résolue sur le hostname dyndns, vérifie que cette IP appartient bien au provider habituel de l'hôte distant, loggue les changements d'IP, et impose une limite au nb de changement d'IP de l'hôte distant.
Mais comme tu le dis, Mikala, RIEN NE VAUT UNE IP FIXE! Le mieux étant encore de monter un VPN entre 2 IP fixes. Là, c'est du béton.

 
Et pourquoi tu pourrai pas utiliser dyndns? Ce "paliatif" à l'IP fixe peut parfois servir, même si en lui-même, ce système est pas trop sécurisé.

et tant qu'à faire tu le fait en ipv6, vu le peu de monde pour le moment t'es encore + tranquille

 
  Tout le monde est pas chez Nerim...  

un vpn en ipv6 ?

 
yep.

il y a au moins  400 hackeurs potentiels

 
Mouais, un VPN en ipv6 dynamique! V'là le programme!  

 
Mouais, et en plus c'est des méchants ceux-là!!!  

ipv6 dynamique  ?
tu as un XP derriere avec sa pseudo ip anonyme ?

en même temps avec le bloc d'adresse v6 dispo y a moyen d'en prendre une de derrière les fagots (securité par l'obscurité powa)

oui tu as raison rien ne m' empeche d' utiliser dydns, c' est juste que ca m' interresse de comprendre comment procéder au mieux dans ce cas là .

2^80

c'est le mieux dans ton cas
(en partant du principe que le dyndns ne décide pas de merder a un moment & qu'un hackeur se retrouve avec l'ip correspond au dyndns  

 
C'est une IPv6 alternative, et non pas fixe!
Bon, on s'égard. Il est où le monsieur avec sa question?

 
Mouais, j'ai pas trop confiance dans dyndns. C'est pour ça que mon shell vérifie au moins que l'IP renvoyée par une résolution du hostname appartient à l'ISP de mon pote... Rhâ! Plus d'un an que j'essaie de le faire passer chez Nerim celui-là!  

 
ne pas répondre...ne pas répondre..

   
désolé je suis pas très rapide

 
je pensais à autre chose  

je vois pas c'était quoi ?  

DTCCCCCCCCCCCCCCCC

voila c'est fait, de rien, c'est naturel

Bonsoir à vous,
 
Juste pour vous remercier les pros. Si si !
 
En effet, je viens de tester et d'adopter ez-ipupdate avec dyndns. Qu'est-ce que cela va me rendre service ce truc pour administrer à distance par ssh et webmin les amis (et la famille convertie presque de force) pour lesquels j'ai installé GNU/Linux. Je vais tous leur faire utiliser dyndns.
 
Jusqu'alors, j'avais pensé à un truc du genre /sbin/ifconfig ppp0 | grep inet | cut -d ":" -f 2 | cut -d " " -f 1 puis mail régulier, mais je me disais que cela ferait bien lourd.
 
Tandis qu'avec ez-ipupdate, c'est simplissime.
 
Et puis le script ez-ipupdate modifié, me sert aussi pour appeler le script iptables (engendré avec Guarddog) après chaque changement d'ip par le fai.
 
En effet, en connexion internet par pppd sous Mdk 9.2 (aDSL pppoa), les scripts placés dans /etc/ppp/if-up.d ou dans /etc/sysconfig/network-scripts/ifup.d ne sont bizarrement pas lancés lors de changement d'ip.
Les scripts à ces emplacements ne sont, semble-t-il, efficaces que pour un lancement des interfaces réseau autres que pppx.
 
Enfin, je suis ravi.

le fichier ip-up (ou if-up ) entraine bien l'execution du repertoire ad hoc ?
sur ma debian que j'ai en passerrelle j'ai ainsi cela dedans

 
Quant j'aurai un peu de temps, je vais regarder de près l'enchaînement des scripts sur Mandrake. Et pour moi, ce n'est pas toujours évident Mais je ne désespère pas de comprendre.