 |
|
|
|
| Autor |
Nachricht |
beule
Anmeldungsdatum: 24.11.2009
Beiträge: 3
|
 Verfasst am:
Di 24 Nov, 2009 15:13 |
  |
|
Kann man in einer Firewallregel den Zugriff so einstellen das nur mustermann.homeip.net und port 4711 durchlaß bekommt? |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3990
Wohnort: Aix la Chapelle
|
| Verfasst am:
Di 24 Nov, 2009 15:34 |
|
|
Hi,
ein Paket im Internet kommt ja mit seiner Absender IP Adresse am LANCOM an und nicht mit dem Absender "mustermann.homeip.net".
Da muesste dann das LANCOM ggf. bei jedem eingehenden Paket erst mal eine DNS Aufloesung machen (je nach dem wie lang oder kurz die TTL des DynNDS ist) um zu pruefen ob die aufgeloeste IP des DynDNS gerade zu der Absender IP im Paket passt.
Ich denke das ist auf diesem Weg nicht zu realisieren.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
  |
|
beule
Anmeldungsdatum: 24.11.2009
Beiträge: 3
|
| Verfasst am:
Di 24 Nov, 2009 15:36 |
|
|
schade
ich dachte so an reverse lookup
oder ist es möglich einem rechner mit dyndns den zugang zu gewähren alles andere aber nicht |
|
|
|
|
tbc233
Anmeldungsdatum: 01.02.2005
Beiträge: 275
|
| Verfasst am:
Di 24 Nov, 2009 19:21 |
|
|
| LoUiS hat folgendes geschrieben:
|
ein Paket im Internet kommt ja mit seiner Absender IP Adresse am LANCOM an und nicht mit dem Absender "mustermann.homeip.net".
Da muesste dann das LANCOM ggf. bei jedem eingehenden Paket erst mal eine DNS Aufloesung machen (je nach dem wie lang oder kurz die TTL des DynNDS ist) um zu pruefen ob die aufgeloeste IP des DynDNS gerade zu der Absender IP im Paket passt.
Ich denke das ist auf diesem Weg nicht zu realisieren.
|
Naja, so betrachtet hätten wir im VPN Umfeld ja das selbe Problem, wäre nicht Lancom der einzig mir bekannte Hersteller (und da bin ich sehr dankbar), der die Hostnamen seiner VPN Gegenstellen regelmäßig im DNS abfrägt und es so möglich macht, stabile Tunnel (da dabei laut Trace auch die TTL berücksichtigt wird) zwischen den wildesten DynDNS Konstrukten aufzubauen.
Ich fänds echt toll und das befindet sich auch schon lange auf meiner Wunschliste, wenn man das bei Firewall Regeln auch so machen könnte. Also sobald man einen Hostnamen in einer Regel verwendet wird dieser so wie bei den VPN Gegenstellen regelmäßig im Hintergrund aufgelöst und steht daher der Regel selbst jederzeit (so aktuell es halt die TTL und die Cache-Mechanismen des DNS zulassen) der Firewallregel selbst als IP zur Verfügung. Das wär der Hammer wenn das mal ginge. |
_________________
Liebe Grüße,
michael
http://www.pixelkinder.com | http://bitfuck.net | http://herzblut.fm |
|
 |
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Di 24 Nov, 2009 19:34 |
|
|
|
|
|
beule
Anmeldungsdatum: 24.11.2009
Beiträge: 3
|
| Verfasst am:
Di 24 Nov, 2009 19:40 |
|
|
Ach ja da sind wir doch schon drei die diesen Wunsch haben und ich kenne noch so ein paar mehr die das gerne hätten.
Ich werde morgen mal mit dem Support sprechen.
Ob's was bringt ? Ich werde berichten. |
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Mi 25 Nov, 2009 17:58 |
|
|
Hallo Michael,
| tbc233 hat folgendes geschrieben:
|
|
Naja, so betrachtet hätten wir im VPN Umfeld ja das selbe Problem, wäre nicht Lancom der einzig mir bekannte Hersteller (und da bin ich sehr dankbar), der die Hostnamen seiner VPN Gegenstellen regelmäßig im DNS abfrägt und es so möglich macht, stabile Tunnel (da dabei laut Trace auch die TTL berücksichtigt wird) zwischen den wildesten DynDNS Konstrukten aufzubauen.
|
Das sieht auf den ersten Blick so aus. Mache mal folgendes: Alle VPN-Strecken sind aufgebaut. Nun änderst Du manuell einen DynDNS-Namen einer Gegenseite direkt beim Anbieter, z. B. im Account-Bereich bei DynDNS. Dann überprüfst Du z. B. mit nslookup ob die Änderung erfolgreich war. Wie Du siehst (evt. auch erst nach Ablauf der TTL), wird nun auf eine andere IP aufgelöst. Was macht der LANCOM? Löst im Trace schön den Namen auf, aber ändert nichts. Es bleibt alles wie es ist. Warum der LANCOM im Hintergrund ständig den Namen auflöst, ich weiß es nicht. Fakt ist, erst wenn die VPN-Strecke nicht mehr steht, löst er den Namen nochmals auf und versucht einen Neuaufbau. Falls mir jemand den Hintergrund erklären könnte, wäre ich sehr dankbar.
Viele Grüße,
Jirka |
|
|
|
|
tbc233
Anmeldungsdatum: 01.02.2005
Beiträge: 275
|
| Verfasst am:
Mi 25 Nov, 2009 18:15 |
|
|
Witzig, da ich bisher immer die meldungen im trace gesehen habe, dass die auflösung durchgeführt wurde, bin ich bisher immer davon ausgegangen, dass diese dann auch dem konkreten Zweck zugeführt werden 
Aber immerhin löst er *irgendwann* mal neu auf. Bei einem Cisco zum Beispiel wird der Hostname einmal aufgelöst (nämlich beim konfigurieren) und dann nie wieder. |
_________________
Liebe Grüße,
michael
http://www.pixelkinder.com | http://bitfuck.net | http://herzblut.fm |
|
|
|
Starmanager
Anmeldungsdatum: 19.03.2009
Beiträge: 43
|
| Verfasst am:
Mo 30 Nov, 2009 07:38 |
|
|
Warum verwendest Du nicht um Sicher zu gehen einen VPN Tunnel? Kostet nicht die Welt und Du bist auf jeden Fall auf der sicheren Seite.
MFG
Starmanager |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mo 30 Nov, 2009 17:29 |
|
|
Hi Jirka
| Zitat:
|
|
Was macht der LANCOM? Löst im Trace schön den Namen auf, aber ändert nichts.
|
das ist aber ein Fehler und wurde früher auch nicht gemacht... In der 7.80 wird das nun auch wieder unterdrückt... Schließlich ist es völlig unsinnig, den Namen aufzulösen, wenn der Tunnel besteht. Das erzeugt nur unnötigen Traffic...
Gruß
Backslash |
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Mo 30 Nov, 2009 22:05 |
|
|
Hallo Backslash,
dankeschön! Dann sind wir uns ja wieder einig.
Viele Grüße,
Jirka |
|
|
|
|
|
|
|
|
| |
|
|
