Frank Brodbeck <[EMAIL PROTECTED]> writes:
> [..]
> -s, --source[!]address[/mask]
> Source specification. _Address_ can be either a hostname, a networt
> nme, or a plain IP address.
>
> Ich hab das auch noch nicht probiert. K�nnte sein, dass er bei einem
> hostnamen nur in der hosts nachschaut, was ich sogar f�r sehr
> wahrscheinlich halte.
N�, ich sch�tze iptables l�st den Namen �ber gethostbyname() auf,
jedenfalls steht in 'meiner' Manpage folgendes:
-s, --source [!] address[/mask]
Source specification. Address can be either a net�
work name, a hostname (please note that specifying
any name to be resolved with a remote query such as
DNS is a really bad idea) [...]
Das ist deshalb eine schlechte Idee, weil es nat�rlich etwas aufwendig
ist, f�r jedes Packet eine DNS-Anfrage zu starten. Man k�nnte
nat�rlich per stateful inspection daf�r sorgen, da� diese Aufl�sung
nur f�r neue SSH-Verbindungen durchgef�hrt wird (--dport 22 --state
NEW).
Eine andere M�glichkeit w�re, die IP per Umgebungsvariable zu
�bergeben und wann immer sie sich �ndert das Firewallskript neu
auszuf�hren.
M.E. ist der Sicherheitsgewinn aber sehr gering, wenn alles
funktioniert. Und die Gefahr ist gro�, durch die Bastelei Fehler
einzubauen. Deshalb w�rde ich auch dazu raten, 22 f�r alle aufzumachen
und die SSH entscheiden zu lassen, wer rein darf und wer nicht.
Gr��e,
Daniel.
--
..... Daniel Hofmann <[EMAIL PROTECTED]> .....
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
