Entrada DDNS sendo substituída pelo IP real em uma cadeia iptables

tag-icon tag-icon iptables ddns
Entrada DDNS sendo substituída pelo IP real em uma cadeia iptables

Tenho um servidor dedicado alugado no qual hospedo determinados serviços.

Por razões de segurança, criei uma cadeia de regras que verificará os endereços DDNS listados e conectará apenas às conexões correspondentes. Parecia ser melhor do que bloquear ou aceitar por país.

Ex.

-A ACCEPT_PERSONAL -s xxx.dns.com -j ACEITAR
-A ACCEPT_PERSONAL -s yyy.dns.com -j ACEITAR

Funcionou bem por um tempo, mas depois de alguns dias, de repente, não consegui acessar meu servidor. Após algum suporte da hospedagem consegui acessar via webmin, e descobri que meus endereços DDNS no iptable foram substituídos por IPs reais, e já que eles mudaram por algum motivo.

Alguma idéia do que aconteceu? Verifiquei os cron jobs, especialmente semanalmente, mas não consigo encontrar nada suspeito.

Também estou usando o Webmin para definir os valores

Responder1

A resolução de DNS acontece antes que a regra de firewall seja carregada no kernel, então você não pode fazer o que deseja usando iptables.

Responder2

Você mencionou que está verificando os endereços DDNS listados. Muitas vezes tenho visto que essas listas não são 100% confiáveis. Meu próprio IP estático em algumas listas é categorizado como Dinâmico. O IP público de onde você tentou acessar sua máquina também pode entrar na lista DDNS. Se você está tentando proteger seu sistema contra ataques SSH, sugiro que pensem comoNegarHosts

Responder3

Como disse o womble, o iptables faz sua resolução de nomes quando as regras são carregadas. Você pode querer gerenciar o acesso usando hosts.allow, por exemplo

sshd: xxx.dns.com
sshd: yyy.dns.com

Você também pode gerenciar o acesso usando "AllowUsers" no arquivo sshd_config. Qualquer um dos métodos procuraria seu endereço no momento da conexão.

Responder4

fail2banfuncionou muito bem para mim no meu servidor virtual. Ele pode ser configurado para funcionar com vários serviços, ssh, ftp, etc. Atualmente o uso para bloquear tentativas de força bruta em SSH e FTPS. Ele banirá automaticamente o IP por um período de tempo usando iptables após X tentativas fracassadas de fazer login em seu servidor.

informação relacionada