Re: [Sysadmins] [Comm] как использовать fqdn в правилах iptables?

Re: [Sysadmins] [Comm] как использовать fqdn в правилах iptables?

[Peter V. Saveliev]

В сообщении от Monday 04 February 2008 15:20:19 Денис Черносов написал(а):
<skip />
> Нигде не наталкивался на предложения по этому поводу. Неужели правильнее
> будет это всё повесить на Squid? Или есть третий вариант?

Если Вам нужны acl на http-траффик, то вешайте на сквид.

Вообще говоря, это задача, жручая до ресурсов и немного не определённая. 
Уровень ip ничего не знает о доменных именах, там только ip, и принимать 
решение надо, исходя из ip. Если Вы хотите принимать решение "на лету", то 
тут есть два пути.

Первый -- back-resolve ипшника в пакете, и сравнение полученного имени с acl. 
Второй путь -- периодическое обновление кэша ip путём прямого резолва имён, и 
сравнение пришедшего пакета с кэшем.

Первый путь грозит задержками размером в таймаут dns-запроса. Второй путь 
исключает использование wildcards в именах и масок.

Так что решайте. Накидать простенький движок динамических acl, который 
бы "запитывался" от -j QUEUE, я могу за день, но если не учесть сказанного 
выше, можно сильно разочароваться в производительности.

-- 
Peter V. Saveliev

Re: [Sysadmins] [Comm] как использовать fqdn в правилах iptables?

[Anton Kvashin]

Денис Черносов пишет:
> В некоторых ситуациях fqdn (а еще лучше маска!!!) просто необходимо. 
> Потому что одно имя может иметь несколько ip или просто меняться гораздо 
> реже, чем ip.

Внести блок адресов организации/конторы/провайдера. Сделать выборку 
интересующих вас, правда покрытие может быть шире.

> Суть проблемы в том, что iptables стартует ДО поднятия интерфейсов и ДО 
> старта bind.

Сначала инициализируется сетевая подсистема (подъем интерфейсов), потом 
сетевые сервисы. У вас не так? А если возникнет проблема с DNS?

> Т.е. разрешение имен в этот момент не работает. Если такое 
> правило стоит в /etc/sysconfig/iptables, то iptables при перезагрузке 
> просто отваливается. Можно добавить часть правил iptables в скрипт, 
> который стартует ПОСЛЕ bind, но..:
> 1) Как сделать так, чтобы корректно отрабатывалось поднятие/опускание 
> интерфейсов?

Падение линка? Если нет сети, что вы хотите от фильтра? Если есть другие 
линки, то они должны быть в правилах.

> 2) Как сделать так, чтобы корректно отрабатывалось 
> поднятие/опускание/падение bind?

Заполнить руками/скриптом /etc/hosts. Избавится от имен в цепочках.

> Нигде не наталкивался на предложения по этому поводу. Неужели правильнее 
> будет это всё повесить на Squid? Или есть третий вариант?

А что вы хотите, опишите задачу.

-- 
Anton Kvashin

Re: [Sysadmins] [Comm] как использовать fqdn в правилах iptables?

[Anton Kvashin]

Денис Черносов пишет:
> У нас есть головная компания.  А у неё есть сервера, к которым мы должны 
> без проблем подключаться. Они нам дают настройки в виде fqdn:port

Разрешить исходящие подключения (удаленный порт видимо не меняется)?

> Но сами сервера сначала были в России у одного хостера, потом у другого, 
> сейчас находятся в Америке (причем несколько штук и в разных штатах). И 
> всё это может относительно динамично меняться и, разумеется, безо 
> всякого предупреждения. При статичности fqdn. Если директор не может 
> посмотреть финансовую отчетность, потому что изменились настройки 
> firewall, нервничать буду я и вполне по поводу. Пока выход только в 
> открытии порта из всей локальной сети.

Директору открыть доступ для любых подключений во вне?

> Если я на работающей сетке, поднятых интерфейсах и bind добавляю 
> правило, например на win.mail.ru:110 <http://win.mail.ru:110>, то оно 
> отрабатывается нормально и особых тормозов я не замечал (сетка маленькая 
> и это вообще не сильно критично а для оптимизации запросы на конкретный 
> нужный порт можно вынести в отдельную цепочку, где и проводить 
> проверки). Проблемы (вполне объяснимые) создают попытки использовать 
> правила такого вида в iptables-save.

Почему win.mail.ru? А не pop.mail.ru и smtp.mail.ru? Они имеют по одному 
IP, врядли меняются. Это для использования почтовых клиентов. Если 
веб-почта, то достаточно http-проксирования.

> С той же самой почтой, например, можно разрешить пользователям 
> пользоваться, только почтой с яндекса, mail.ru <http://mail.ru> и google 
> (исходящие на порты smtp, pop3, imap), а остальное закрыть в целях 
> борьбы с вирусами-спамерами. Но на один mail.yandex.ru 
> <http://mail.yandex.ru> может приходиться несколько ip, которые могут 
> измениться в любой момент. После какого-то критического порога подобных 
> правил, следить за актуальностью ip руками будет слишком обременительно. 
> И, как ни следи, а смену адреса всё равно прозеваешь и получишь простой.

Использовать прокси, там и определять что можно.

> Не падение линка, а ifdown, ifup (у меня сейчас на сервере периодически 
> повисает внешний интерфейс. Проблема скорее всего в мат. плате, уже 
> готовится другой сервер ему на замену, но пока суть да дело... Не 
> перезагружать же из-за этого весь сервер.).

ipmp (для Солярки), для Linux попробовать bonding (вторую сетевую 
карточку), режим Active-backup.

-- 
Anton Kvashin

Re: [Sysadmins] [Comm] как использовать fqdn в правилах iptables?

[Глодин С.В.]

вівторок, 05-лют-2008, Денис Черносов написав:
> 04.02.08, Anton Kvashin <foo@junior.esoo.ru> написал(а):
> > Денис Черносов пишет:
> > > В некоторых ситуациях fqdn (а еще лучше маска!!!) просто необходимо.
> > > Потому что одно имя может иметь несколько ip или просто меняться
> > > гораздо реже, чем ip.
> >
> > Внести блок адресов организации/конторы/провайдера. Сделать выборку
> > интересующих вас, правда покрытие может быть шире.
>
> У нас есть головная компания.  А у неё есть сервера, к которым мы должны
> без проблем подключаться. Они нам дают настройки в виде fqdn:port

А не пробовали говорить с головной компанией по поводу поднятия любого типа 
VPN? При этом VPN-адресация будет постоянной и не нужно будет делать подобных 
извращений. Кстати, это нормальная, общепринятая практика в таких случаях.

-- 
С уважением,
               С.В. Глодин

Re: [Sysadmins] [Comm] как использовать fqdn в правилах iptables?

[Maxim Tyurin]

Денис Черносов writes:

> 04.02.08, Anton Kvashin <foo@junior.esoo.ru> написал(а):
>>
>> Денис Черносов пишет:
>> > В некоторых ситуациях fqdn (а еще лучше маска!!!) просто необходимо.
>> > Потому что одно имя может иметь несколько ip или просто меняться гораздо
>> > реже, чем ip.
>>
>> Внести блок адресов организации/конторы/провайдера. Сделать выборку
>> интересующих вас, правда покрытие может быть шире.
>
>
> У нас есть головная компания.  А у неё есть сервера, к которым мы должны без
> проблем подключаться. Они нам дают настройки в виде fqdn:port
>
> Но сами сервера сначала были в России у одного хостера, потом у другого,
> сейчас находятся в Америке (причем несколько штук и в разных штатах). И всё
> это может относительно динамично меняться и, разумеется, безо всякого
> предупреждения. При статичности fqdn. Если директор не может посмотреть
> финансовую отчетность, потому что изменились настройки firewall, нервничать
> буду я и вполне по поводу. Пока выход только в открытии порта из всей
> локальной сети.
> Трафик - не http|ftp или какой-то другой из общеизвестных. Точно
> шифрованный, но подробности мне тоже недоступны. Как он будет переживать
> прозрачное проксирование - затрудняюсь сказать. Настраивать прокси руками
> тоже не везде получится - есть несколько самописных примитивных
> программулин, в которых этих настроек точно нет.

Дели конфигурацию iptables на 2 части.
Первая часть с минимальной настройкой стартует штатно.
Вторая часть с резолвингом имен из rc.local

Вторую часть можно периодически из cron запускать.
\skip
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/