Firewall s whitelistem při často měnící se ip adrese

[xsouku04]

Jen jestli to správně chápu,
tak v momentě kdy se z jakéhokoliv důvodu neaktualizují záznamy klienta u nějaké bezvadné free DNS služby, třeba kvůli její odstávce, přetížení atp. (počítám, že free varianta je bez jakéhokoliv závazku dostupnosti) nebo když nebude dočasně dostupná DNSka pro překlad na tom serveru, tak se klient po změně IP nepřipojí.
Taky je super, že ta DNS služba má na free tieru minimální hodinové TTL, takže když by tam někde u serveru byl třeba kešovací resolver (což občas dává docela smysl), tak vám může taky hodinu vracet starou IP (to se dá ale využít k tomu, že se může jít klient třeba projít, než vyprší všechny timeouty DNSce a cronu).
Nakonec to, že se v tom setu budou štosovat staré IP adresy, které může zrecyklovat kdokoliv (s tím CGNATem) a dáte jim přístup k těm službám, než je ručně vymažete a obnovíte celý set, už je jen taková třešnička na dortu.

Jako jo, je to docela vymakané, to nemohu říct. 
Taková VPN brána je oproti tomuhle systému problematická, protože - co kdyby se s ní něco stalo.

Opakuji, že VPN mám, tohle je záložní řešení, když by vpn spadla spolu se serverem. VPN běží jako obyčejný virtuál takže se ho výpadek může týkat stejně jako jakékoli jiné služby. Stačí když bude fungovat tohle nebo VPN, nebo nějaká další ip adresa která se nemění. Pokud jeden fyzický stroj spadne, potřebuji pak nahodit virtuály co tam běžely na jiném stroji a tam se potřebuji co nejrychleji a nejednodušeji dostat.  Dynamickým whitelistem vpn možnost neruším ani neruším možnost udělat to z ip adres, které se nemění.
Že by teoreticky mohlo hádat heslo několik set náhodných BFU lidí z ČR mne nijak netrápí. Jsou tam stejně klíče, přihlášení heslem zakázané. Firewall je tam hlavně proto, aby do něj nebušili útočníci co náhodně skenují internet a zkouší otravovat.

[Reklama]

[xsouku04]

Proc myslis, ze selhani stroje s wireguardem je pravdepodobnejsi nez selhani stroje s SSH?

SSH mají všechny stroje, jak fyzické tak virtuální. Pravděpodobnost selhání virtuálu s wireguardem je stejná jako jakéholi jiného. Ale pro ten případ potřebuji wireguard či jiné virtuály spustit na jiném fyzickém stroji. A proto se tam musím umět nějak dostat i jinak než přes ten wireguard.

[messagebus]

Pokud bych nedokazal zajistit stabilitu prostredi pro beh virtualek, sel bych teda radeji do varianty dve ruzne VPNky na dvou ruznych derivatech unixu, ale ok, kazdy sveho stesti strojvudcem

[xsouku04]

Pokud bych nedokazal zajistit stabilitu prostredi pro beh virtualek, sel bych teda radeji do varianty dve ruzne VPNky na dvou ruznych derivatech unixu, ale ok, kazdy sveho stesti strojvudcem

Ale přece spoléhat se na to, že to nikdy nespadne, nelze nikdy. Bez ohledu na to jaký máte hardware i software.
A přestože má serverovna záložní baterie i agregát, je nutné počítat s tím, že tak možná jednou za deset let nepůjde elektřina. A jednou za 10 let nepůjde internet.  Nebo při DOS budou dostupné jen některé ip adresy a stroje.
A až proud opět půjde, může se stát, že správně nenaskočí více jak jeden stroj. Ve stejnou dobu. To všechno se už již stalo a je třeba mít co nejlepší možnosti se tam dostat a minimalizovat škodu.
Takže předpoklad, že bude určitě stačit jeden záložní VPN mi také moc nesedí. Krom toho by bylo třeba připojování přes VPN střídat, aby se nefunkčnost projevila dříve než hlavní VPN bude nedostupné. No a já prostě jako druhou možnost volím něco jiného než VPN, což je prostě větší diverzifikace a může někdy hodit.