Mysql Port temporär öffnen

Michael008 · Beitrag von **Michael008** » 20 Aug 2006, 23:55

Hallo Experten,
kann mir jemand sagen wie ich einen bestimmten Port, in diesem Fall (3306) temporär öffne.
Ich stelle mir das so vor:
1)
Man wählt sich über https auf den Router ein und (geht natürlich schon)
2a)
kann dann dort als sehr eingeschränkter Benutzer (welche Benutzerrechte?)
2b)
eine Regel aktivieren, (Regel müsste teilweise schon vorhanden sein, angepasst und aktiviert werden)
3)
die die aktuelle Client-IP für 30Min auf den Port durchlässt.
(eine Aktion, aber mit welchem Triger und welchem Befehl?)
Router: 1711 (FW 6.12).
Danke, ich bin gespannt auf euere Antworten.
---------------------------------------------------------
@ADMIN, thread ist leider in der falschen Kategorie,
bitte in Kategorie Firewall verschieben. - Danke

Michael008 · Beitrag von **Michael008** » 29 Aug 2006, 13:29

Sry, wenn ich hier nochmal nachfrage,
geht das Vorhaben überhaupt nicht?
An was scheitert es?
Danke für Antworten.

Drachenlady · Beitrag von **Drachenlady** » 29 Aug 2006, 14:11

1) Im Router kann nur der Routeradmin die Regeln ändern. Sonst köönnte ja jeder das ganze (Firmen)netzt verdrehen.

2) Eine Regel, die nach Triggern nur 30 Minuten gilt? Ähmm. Geht wohl kaum. Firewalls haben feste Regeln.

3) Warum verwendest du keine Benutzerverwaltung in MySQL?

Michael008 · Beitrag von **Michael008** » 29 Aug 2006, 16:30

Danke für die Antwort/Frage

Drachenlady hat geschrieben:1) Im Router kann nur der Routeradmin die Regeln ändern. Sonst könnte ja jeder das ganze (Firmen)netzt verdrehen.

Wenn ich das richtig im Kopf habe kann man sogar die Defaultroute bzw. die Defaultverbindung als Benutzer ändern, warum also keine Firewallregen aktivieren, die bereits existiert.

Drachenlady hat geschrieben:2) Eine Regel, die nach Triggern nur 30 Minuten gilt? Ähmm. Geht wohl kaum. Firewalls haben feste Regeln.

Da gibt es meiner Meinung nach 2 Ansatzpunkte, Cron und Aktionslisten. Wenn man eine Cronregel erstellt, die die entsprechende Firewallregel wieder zurücksetzt könnte es gehen. [aktuelleZeit+30Min][FWregel deaktivieren]

Drachenlady hat geschrieben:3) Warum verwendest du keine Benutzerverwaltung in MySQL?

Ich möchte eigentlich noch mehr Ports öffnen, außerdem ist ein unerreichbarer Dienst, meiner Meinung nach, besser geschützt, als einer mit Benutzerverwaltung.(Es gibt immer wieder Sicherheitlücken) Mysql sollte dauerhaft nur vom Apache Computerintern abgerufen werden. Diese ganze Konstellation ist gedacht, dass sich die Entwickler "einwählen" können.

Ist die ganze Idee eurer Meinung nach eher idiotisch oder genial?
Danke für Antworten

backslash · Beitrag von **backslash** » 29 Aug 2006, 17:41

Hi Michael008

Wenn ich das richtig im Kopf habe kann man sogar die Defaultroute bzw. die Defaultverbindung als Benutzer ändern, warum also keine Firewallregen aktivieren, die bereits existiert.

nein, als einsgeschränkter User darfst du nur Wizards laufen lassen - und auch nur die, die der Admin dir erlaubt hat...

Da gibt es meiner Meinung nach 2 Ansatzpunkte, Cron und Aktionslisten. Wenn man eine Cronregel erstellt, die die entsprechende Firewallregel wieder zurücksetzt könnte es gehen. [aktuelleZeit+30Min][FWregel deaktivieren]

das geht in der Form leider nicht...

Ich möchte eigentlich noch mehr Ports öffnen, außerdem ist ein unerreichbarer Dienst, meiner Meinung nach, besser geschützt, als einer mit Benutzerverwaltung

das macht hier doch keinen Unterschied: Du hast die Userverwaltung nur in das LANCOM verlagert. Wenn da ein Angreifer drauf kommt, dann kann er noch viel mehr Schaden anrichten als auf der Datenbank...

Diese ganze Konstellation ist gedacht, dass sich die Entwickler "einwählen" können.

warum richtest du den Entwicklern nicht einfach VPN-Zugänge ein und schaltest in der Firewall den Zugang zum SQL-Server (und nur den) nur für diese Zugänge frei. Den Entwicklern gibst du dann noch ein Zertifikat für die VPN-Einwahl, so daß das Username/Paßwort-Problem gar nicht erst gegeben ist.

Ach ja: und nicht vergessen, die Konfiguration des LANCOMs über das WAN zu verbieten...

Ist die ganze Idee eurer Meinung nach eher idiotisch oder genial?

willst du eine ehrliche oder eine nette Antwort auif diese Frage?

Gruß
Backslash

filou · Beitrag von **filou** » 29 Aug 2006, 18:03

Hallo Michael,

Ich habe erstmal die Meinung eines Lancom´ers abgewartet, da ich mir auch nicht sicher war, ob da was möglich ist.
Aber backslash hat es ja jetzt verneint.

Ich habe einen anderen Punkt, außer die sicherlich eleganteste Lösung - VPN, zum ansetzen...

Nutzt ihr eine Mail-Server, der direkt per SMTP empfängt, oder nur POP3?

Der Gedanke...
Mit Outlook lassen sich über VBA-Macros Scripte oder Programme starten, wenn eine email, mit bestimmten Betreff reinkommt.

So die Idee...
Du könntest tftp-Scripting für die Lancom-Konfig nutzen und die Teilkonfiguration für diese, von dir oder den Entwicklern benötigten Ports auslagern.
Beim Eintreffen der email wird ein Script(oder Batch) gestartet, was zuerst das erste tftp-Script startet, welches die Ports freischaltet, dann eine Pause in der Abarbeitung von 30 Minuten(oder wie auch immer) macht, danach ein zweites tftp-Script startet, welches die Änderungen wieder rückgängig macht.

Funktionieren würde das, habs bei mir ähnlich, aber nicht mit email und Outlook.
Da ich aber auch noch nicht viel mit VBA gemacht habe, kann ich dir nichts direkt auf dem Tablett liefern. Aber Google wird helfen.

Zum Scripting mit Lancoms, siehe auch hier:
http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument

Drachenlady · Beitrag von **Drachenlady** » 29 Aug 2006, 18:41

Ich würde VPN vorziehen.
Oder machen bei euch die Entwickler so viel Unsinn miteinander und auf dem Server, dass sie auf 30 Minuten begrenzt werden müssen?