LINUX.ORG.RU
ФорумAdmin

Можно ли как-то идентифицировать свой телефон средствами iptables

 


0

1

Как можно распознать подключения со своего телефона со стороны iptables, по маку или как-то еще? ОпСоС: МТС Москва, адреса выдаются динамические. Сам не могу «дотумкать», приветствую любые мысли (советы) на эту тему.

Спасибо.

★★★

Тебе нужно что бы достп к определённым портам был только с него?
Тогда смотри port-knocking.
Ежели хочется другого - расскажи подробнее.

Yustas ★★★★
()

по маку

через сеть опсоса? нет.

Для особо неуловимых Джо можно распознавать по номеру порта, к которому ты будешь подключаться с телефона. В случае сколь-либо большей уловимости пост звучит так, будто бы тебе нужен VPN, но ты это еще не понял. Так что задачу в студию! На кой тебе на таком низком уровне определять, твой это телефон или нет? Китайская пластмассовая авторизация?

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Мне периодически надо лазать на свой сервер, но светить им на весь интернет (или хотя бы МТС) я не хочу. Собственно вся задача.

yaba ★★★
() автор топика
Ответ на: комментарий от yaba

Уже ответили - VPN
Светить телефон он не хочет, а гонять не шифрованный трафик он готов, что за идиотская постановка задачи.

anonymous
()
Ответ на: комментарий от yaba

Голой жопой в сеть, зачем? Нет я понимаю когда задача подразумевает допустим вэб, но так нахрена, чтоб боты круглосуточно брутили пароль? Хочешь голой попой, тогда меняй порты, хоть маленько отсрочишь, пока тебя не найдут. И при такой постановке, нафига тебе узнавать кто там?

anonymous
()
Ответ на: комментарий от anonymous

Господин Анонимус, по-моему мы не понимаем друг друга. Еще раз, сервисы поднятые на сервере нужны только мне и с телефона, остальных хотелось бы оградить от этих сервисов. Каким местом тогда другие люди выставляют свои сервисы в сеть? Про посадку ssh на какой-нить верхний порт я в курсе, только это фигня, а не защита, просто логи будут намного чище, чем когда висит оно на 22-м порту.

yaba ★★★
() автор топика
Ответ на: комментарий от yaba

Еще раз для тех кто плохо читал, VPN. Можешь получить mac телефона. Решает твою задачу, дополнительно ограждает тебя от брутфорса

anonymous
()
Ответ на: комментарий от yaba

ssh и https

Ну тогда проводи авторизацию на этом уровне: SSH-ключи, клиентские сертификаты. При чем тут iptables?

t184256 ★★★★★
()
Ответ на: комментарий от yaba

Каким местом тогда другие люди выставляют свои сервисы в сеть?

Я тебя, наверное, очень удивлю, но сажают демона слушать стандартный порт и выставляют. Востребованные ставят fail2ban. А ты пытаешься извращаться на ровном месте.

t184256 ★★★★★
()
Ответ на: комментарий от anonymous

Не ну а чо, если при этом сразу два презерватива надеть, то должно быть довольно безопасно.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

При чем тут iptables?

Ну чтобы не брутфорсили, да и вообще не светить им просто так, раз пользоваться буду им только один я. Про презерватив тут уже упомянули, а я еще вспомнил про свечку...

Думал я про VPN, так же он будет торчать и светить на весь интернет ожидая подключения. Мне скорее port knocking подойдет. Щас посмотрю что такое фейлтюбан.

yaba ★★★
() автор топика
Ответ на: комментарий от anonymous

Сам придумал, сам поржал, отлично, отлично
Зыж тунелирование всеж лучше универсальными средствами делать, чтоб не пришлось через пол годика вспоминать, чтоб такого прикрутить к альтернативной оси, а то не работает

anonymous
()
Ответ на: комментарий от yaba

Думал я про VPN, так же он будет торчать и светить на весь интернет ожидая подключения.

И что плохого?

Мне скорее port knocking подойдет.

Нет.

Щас посмотрю что такое фейлтюбан.

О господи. Ничего не делай, пока не самообразуешься и не разберешься со своими фобиями.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от anonymous

и что же такого неуниверсального в ssh?

anonymous
()
Ответ на: комментарий от yaba

Мне периодически надо лазать на свой сервер, но светить им на весь интернет (или хотя бы МТС) я не хочу

Ты хочешь чтобы МТС доставляла пакеты на твой сервер, но при этом не знала куда она их доставляет?! Tor ?

arson ★★★★★
()

Конечно можно с помощью iptables разрешить доступ к сервисам исключительно устройствам, с определенными маками. Но следует иметь в виду, что первый же маршрутизатор по пути от устройства до сервера при форвардинге пакетов перебьет мак-адрес, поэтому придется добавлять VPN. Как по мне, так это очень неудобная схема, которая слишком все усложняет. А чем сложнее система, тем меньше надежность, т.к. больше компонентов, которые могут содержать ошибки (и которые так же можно неправильно настроить).
Простого ssh с авторизацией по ключу более чем достаточно, т.к. ключ брутить сложно. Если добавить блокировку на пару минут ip-адреса, с которого были 2-3 неудачные попытки авторизации (fail2ban, sshguard), то скорее Солнце израсходует весь свой водород, чем кто-то физически сможет перебрать необходимое количество комбинаций.

m0rph ★★★★★
()

почему ты боишься выставлять сервер в открытый интернет, какие комплексы тебе мешают, давай поговорим об этом :)

Harald ★★★★★
()
Ответ на: комментарий от Harald

какие комплексы тебе мешают, давай поговорим об этом :)

У меня маленький половой член и избыточный вес, средненькая зарплатка и маленькая квартирка.

А по теме совет будет?

yaba ★★★
() автор топика

по кукам

anonymous
()
Ответ на: комментарий от m0rph

Спасибо. Покурив эту тему и прикинув келдыш к носу, насчет ssh я склоняюсь к этой же конфигурации, которую ты и описал. А вот насчет http сервера я не уверен. У меня поднят https с самоподписным сертификатом и авторизацией, но в интернет я такое выставлять побаиваюсь. Сейчас у меня просто разрешен адрес моего компа с работы, но политика компании изменилась и теперь все сливается большому начальству. Поэтому со всеми своими личными делами собираюсь переехать на телефон.

yaba ★★★
() автор топика
Ответ на: комментарий от yaba

Не вижу никакой проблемы выставлять ssh или https наружу на весь интернет, если всё грамотно настроено.

В крайнем случае можно ограничить доступ сетью мобильного оператора, смотришь в whois по выданному тебе адресу какой им там диапазон выделен, и добавляешь его в правила

Harald ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.