Na serverech používám whitelist ip adress pro přihlášení na ssh a třeba k mailu, ale co O2 koupilo nej.cz, častěji mění ip adresy. Běžně to poskytovatelé internetu často nemění, ale vypadá to, že v O2 jsou prasáci.
Tedy ručně upravovat firewall na všech strojích se není moc praktické. Výrazné zlepšení by bylo, kdyby šlo nftables použít doména, ale vývojáři nftables nějak opět nedomysleli a přímo to nejde (jako by to nikdo nikdy nepotřeboval).
Nyní to řeším includem části nft konfiguračního souboru do hlavního nftables.conf, kde jsou definované všechny ip adresy v podobě proměnných. Tedy změny jsou na jednom místě, jednodušší a celé je to přehlednější, protože podle názvu proměnné je jasné co to je, ale pořád to není moc dobré.
Potřebuji to hlavně jako zadní vrátka, když by chcípl i server s wireguardem, abych se mohl někam přihlásit.
Jaké jsou možnosti jak to řešit? Něco jako metoda knock, knock, která mi na chvíli otevře port a útočník o tom mechanizmu neví?