Opakuji, že VPN mám, tohle je záložní řešení, když by vpn spadla spolu se serverem. VPN běží jako obyčejný virtuál takže se ho výpadek může týkat stejně jako jakékoli jiné služby. Stačí když bude fungovat tohle nebo VPN, nebo nějaká další ip adresa která se nemění. Pokud jeden fyzický stroj spadne, potřebuji pak nahodit virtuály co tam běžely na jiném stroji a tam se potřebuji co nejrychleji a nejednodušeji dostat. Dynamickým whitelistem vpn možnost neruším ani neruším možnost udělat to z ip adres, které se nemění.
Že by teoreticky mohlo hádat heslo několik set náhodných BFU lidí z ČR mne nijak netrápí. Jsou tam stejně klíče, přihlášení heslem zakázané. Firewall je tam hlavně proto, aby do něj nebušili útočníci co náhodně skenují internet a zkouší otravovat.
Nejdřív píšete, že to je i pro kolegy a ti mají zakázáno se z domova připojovat přes WG a používají to jen z venku, z toho mi to vycházelo spíš jako primární řešení.
Teď to zas vypadá, že jste si vymyslel tuhle konstrukci s dynamickou DNSkou, abyste si pro sebe (počítám jako primární admin) ušetřil za pevnou adresu bez CGNATu, která se prostě z mnoha důvodů beztak hodí, a tohle má být tedy záloha pro váš SSH přístup.
K tomu nahazujete za mě dost nesmyslné scénáře, kterými si chcete obhájit systém konfigurace s mnoha veřejně přístupnými servery s lokálními firewally a hromadou generovaných pravidel místo standardní klientské VPN brány (případně druhé záložní s jednoduše replikovanou, ale identickou konfigurací). Což opravdu nechápu, nebo resp. chápu, protože jsem podobné věci dělal v 90. letech (pod rootem běžící lokální generátory incoming pravidel pro IPFW ve freebsd, které jsem psal v perlu, opičárny na dial up a tak.), ale dnes mi opravdu přijde, že se tohle poměřně přežilo.
S redund. bránami bych měl jediné body, kde můžu filtrovat, sledovat provoz, logovat přístupy, upravovat konfiguraci, přidávat a odebírat uživatele, revokovat atp. Když se bude něco opravdu nehezkého dít, můžu to prostě bloknout najednou, bez toho abych lezl po dvaceti lokálních fw.
Funguje to pak odevšud stejně, ať už se někdo připojuje z domova, nebo třeba z mobilu v Albánii. Je to také i mnohem lepší pokud by tam pak mimo SSH byly i služby, které nejsou samy o sobě tak zabezpečené. Ten VPN tunel je totiž bez dalšího přičinění uživatele typicky jen virt. interface na jeho počítači, oproti whitelistování jeho veřejné adresy, kdy zpřístupníte služby nejen jeho počítači, ale celé jeho LAN za NATem.
Jakmile tam jsou ještě po normální uživatele nějaké jiné přímé přístupy mimo VPNku (co kdyby náhodou), tak tohle celé trochu padá.
I kdybych pak chtěl nějakou další, svou administrační zálohu, nezávislou na těch zmíněných bránách (resp. třeba hypervizorech, nebo co tam máte), tak jsem přesvědčený, že tam bude dalších x možností jak to řešit čistěji a líp i s dynamickou veřejnou adresou odkud bych se případně připojoval, a zároveň i tak aby mi to fungovalo odevšud, ne jen z domova.
Ale beru, už jste se rozhodl, jste s tím takhle evidentně spokojený. Já jsem své napsal, svým způsobem i proto, že kdyby někdo ten dyndns whitelist chtěl replikovat, aby si to případně mohl zasadil i do nějakého jiného kontextu.
43 Odpovědí
6126 Zhlédnutí