PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheit per IP-Filter und DynDNS



mbihn
08.01.2009, 16:24
Hallo,

ich versuche gerade den Zugriff von Außen noch ein wenig zu optimieren.
Ich möchte gerne den Zugirff von außen auf eine bestimmte IP beschränken.
Geht das irgendwie (auf 'nem normalen Linux-Hobel würde ich iptables nehmen). Hat jemand so was schon mal versucht?

Und dann noch die nächste Frage:
Ich greife nur von einen anderen Rechner, der sich irgendwo mit einer Dyn.IP in Internet befindet zu. Allerdings hat er (auch) eine Dyn.DNS-Namen. (der Rechner ... und meine DS einen anderen)
Jetzt würde ich gerne ein Skript laufen lassen, was sich alle 5 min die aktuelle IP über DynDNS auflösen läßt und dann an "iptable" (oder was auch immer) weiter gibt.

Hat das jemand schon mal gemacht?

Resultat wäre, das die DS nur auf die eine IP antwortet und sonst "unsichtbar" ist. Mir ist klar, das ich mit eine wenig Zeitverzug rechnen muss, wenn mein Notebook im Netz 'ne neue IP bekommt. (DynDNS+Skript)

Verwenden will ich das für FTPS und/oder WebDAV (für WebDAV hab' ich schon alles gefunden, was ich brauche) Die IP-Sperrung darf aber ruhig die ganze DS betreffen, der Rest ist extern eh ausgeschaltet.

Gruß
Michael

PS: DS 107+, neueste Firmware

Trolli
08.01.2009, 16:35
Wie man eine Beschränkung auf bestimmte IPs hinbekommt, hat Jahlives im Wiki dokumentiert (http://www.synology-wiki.de/index.php/3rd_Party_Applications_absichern). Für FTP müsste man das mit entsprechenden Black- und Whitelisten (http://www.synology-wiki.de/index.php/Nicht_unterst%C3%BCtzte_Konfigurations%C3%A4nderun gen#FTP_Whitelist) separat machen.

Wie Du das von einer dynamischen IP aus hinbekommst, kann ich Dir leider zur Zeit nicht sagen. Da fällt mir spontan auch nix zu ein.

Trolli

mbihn
08.01.2009, 17:08
Danke, das hilft ja schon sehr weiter.

Weiß irgendwer noch, wie man die DS dazu bekommt, die /etc/hosts.allow neu einzulesen .... Antwort schon gefunden:
/etc/init.d/xinetd reload

Der Rest sollte sich mit mit nslookup oder ping und einem kleinen Skript erledigen lassen.

Teste ich heute abend mal ... danach wird hoffentlich die DS nur noch für "notebook".dyndns.org sichtbar sein *freu*
Und alle Portscanner schauen in die Röhre ;-)

Gruß
Michael

PS: Skript poste ich, sobald es läuft ...

Trolli
08.01.2009, 20:31
Wenn Du das hinbekommst und es funktioniert, wäre das glatt einen Wiki-Beitrag wert... ;)

Trolli