Eh, zoiets als dit, wellicht?

`host $hostname | cut -d ' ' -f 4`

(ervan uitgaande dat legitieme hosts altijd resulteren in de uitvoer
[hostname] has address [IP])

Richard Rasker

Paul van der Vlis <***@vandervlis.nl> wrote:
| Ik wil in een firewall-script de naam van een host gebruiken, en dus
| niet de IP. Als ik een naam gebruik gaat dit echter niet goed, iptables
| zegt "onbekende host/netwerk" of zoiets, vreemd.
|
| Hoe zou ik toch een hostname kunnen gebruiken?
|
| Andere benadering is evt. de hostname te resolven, zoiets:
| iptables -A INPUT -i $INTDEV -p TCP --dport 22 \
| -s `host cc12345.groni1.gr.home.nl` -j ACCEPT
| Maar hoe zorg ik ervoor dat "host" alleen maar het IP geeft en niet meer
| dan dat?

Gebruik "dig +short".

Maar kun je wel DNS requests doen op het moment dat je de firewall
installeerd? Normaal gesproken wil je de firewall installeren voordat
je het netwerk opstart.

Beveiliging tegen een dependency op dns. Waar ik 2 goeie redenen voor kan
bedenken:

- je wilt je firewall script draaien voor je netwerk up is, zodat je
netwerk beveiligd op komt. dan heb je nog geen dns.

- dns is niet vrij van potentiele aanvallen.
Ik zou iets doen als

iptables -A INPUT -i $INTDEV -p TCP --dport 22 \
-s `getent hosts cc12345.groni1.gr.home.nl | awk ' { print $1 } '` \
-j ACCEPT

getent hosts $naam is redelijk eenvoudig om te zetten naar alleen IP.

Maar ik zie nog wel een leuk issue: getent hosts heeft een voorkeur voor
ipv6:

$ getent hosts koos.idefix.net
2001:888:1011::694 koos.idefix.net

Koos

On Wed, 14 Jan 2009 13:27:25 +0100
Zet het in een bestand als /etc/firewall/ip.vars en verander het daarin:

IP_GRON=1.2.3.4

In het fw-script:

source /etc/firewall/ip.vars

iptables -A INPUT -i $INTDEV -p TCP --dport 22 \
-s ${IP_GRON} -j ACCEPT

Dan weet je zeker dat je een juist ip hebt als het ding start zonder
dns. Kun je dat bestand vullen op het moment dat de zaak draait en je
alles onder controle hebt.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

On Wed, 14 Jan 2009 13:27:25 +0100
Paul van der Vlis <***@vandervlis.nl> wrote:

O ja, nog dit:

#!/usr/bin/perl

if ($ARGV[0] =~ /^(\d+)\.(\d+)\.(\d+)\.(\d+)$/
&& $1 < 256
&& $2 < 256
&& $3 < 256
&& $4 < 256) { exit(0) }

exit(1);

Dit controleert of een ip-adres een juist ipv4 adres is. Voeg alleen een
check toe op 0.0.0.0 want een:

iptables -A INPUT -s ${IP_GRON} -p tcp --dport 22 -j ACCEPT

is zo lullig ;-)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+