"Carlos Jara Sazo" <[EMAIL PROTECTED]> dijo:
[...]
> El tema es el siguiente, tenemos un servidor con el demonio sshd escuchando,
> y para filtrar un poco mas los accesos externos
Paranoia mal aplicada. Probablemente tengas problemas de seguridad
muchisimo mas graves en que no se pican y queman inmediatamente los
documentos a destruir que via "posiblemente alguien se conecta desde la
maquina que no es".
> estamos dejando pasar a
> ciertos ip, en el caso de varios usuarios que se conectan desde sus casas el
> esquema ip no funciona ya que este no es el mismo cada vez que se conectan,
> es por eso que estoy intentando permitir de acuerdo a nombre de maquina y
> para eso los usuarios externos estan registrando sus ip en servicios dns
> dinamicos como dyndns.org, luego de esto sucede lo de mas abajo
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
From [EMAIL PROTECTED] Fri Apr 22 22:18:55 2005
From: [EMAIL PROTECTED] (Horst von Brand)
Date: Sat Apr 23 00:25:52 2005
Subject: Consulta Tcp_wrapper
In-Reply-To: Your message of "Fri, 22 Apr 2005 10:03:19 -0400."
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
"Carlos Jara Sazo" <[EMAIL PROTECTED]> dijo:
> Usando tcp_wrapper para permitir o denegar servicios, necesito permitir
> la conexión a un pc adsl con ip dinamico que se registra en un dns
> tipo dyndns, utilizo su nombre de maquina la que es resuelta por el dns,
> pero igual no me permite el acceso.
Generalmente los programas resuelven el nombre /una/ vez cuando parten, y
se quedan con la IP de alli en adelante.
> El hosts.allow tiene por ejemplo
>
> sshd: maquina.dyndns.com
>
> el log me dice
>
> sshd[5220]: refused connect from 200.xxx.xx.74 (200.xxx.xx.74)
> Y
>
> warning: /etc/hosts.allow, line 12: can't verify hostname:
> getaddrinfo(200.xxx.xx.74.block6_dsl.surnet.cl, AF_INET) failed
> Es la comparacion del reverso que no coincide con maquina.dyndns.com?
De partida, lo unico que sabe de la conexion entrante es la IP, y tratara
de obtener el nombre via el reverso. Que /obviamente/ no da el dyndns.
> Existe alguna forma de saltarse esta verificacion para este tipo de caso.
Evitar usar hosts_access(5)?
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
