Zugriff auf Ports mittels Hostname beschränken

#0
07.09.2006, 11:28
...neu hier

Beiträge: 3
#1 Hallo,


ich suche nach einer Möglichkeit (genauer Firewall) die es mir erlaubt, Zugriffe auf Ports mittles des Remotes-Hostnamen zu beschränken.

Hintergrund:
Ich möchte mein Rechner komplett remote steuern können, weltweit,zu jeder Zeit und von jedem System ohne andere Software zu installieren.

Dazu muss ich den Port von XP-Remote 3389 PERMANENT für außen offen halten was nach meinem Gefühl aber eine enorme Sicherheitslücke aufbringen würde.

Idee ist nun folgende: Bevor ich mich vom Fremdrechner zu meinem Heimrechner verbinde weise ich meiner DynDNS-Domain die IP des Fremdrechners zu, indem ich mich auf www.2mydns.com einlogge und manuell aktualisiere.
Dadurch würde die möglichkeit bestehen, dass ich in der Firewall die Zugriffsregel für den Port 3389 auf z.B. fremdrechner.2mydns.com beschränke.

Die Firewall wandelt dann beim Zugriff auf den Port "fremdrechner.2mydns.com"
in eine IP um und vergleicht diese mit der des Fremdrechners.

Dadurch bestünde die Möglichkeit, den Kreis der Rechner die auf die Login-Maske des Remotezugriffs zugreifen können, auf max 1 Fremdperson zu begrenzen.


Gibt es eine private & free Firewall die so etwas beherscht ? Hab bisher nur eine kostenpflichte ServerFirewall versteckt im WWW gefunden.


Grüße und Danke
Dieser Beitrag wurde am 07.09.2006 um 11:35 Uhr von KhaledFFM editiert.
Seitenanfang Seitenende
07.09.2006, 12:22
Moderator
Avatar hevtig

Beiträge: 2307
#2 Hi, eine Lösung, wie du es gerne hättest kenne ich leider auch nicht.
bin mir auch nicht sicher, ob das überhaupt so funktionieren könnte.
Das Problem ist ja, daß du zwar per fremdrechner.2mydns.com erreichbar bist, allerdings sieht die Firewall/ bzw. der PC nur deine IP. Versuchst man dann den Namen für die IP aufzulösen müsste man den Rechnernamen sehen.

Von der IP aus kommt man nicht mehr auf deinen dyndns- Namen.

allerdings hast du ja eine Firewall gefunden, die so etwas können soll...

seltsam.

Ich würde eher empfehlen, daß du das RemoteDesktop Protokoll über SSH tunnelst.
Dann mußt du zwar auch einen Port permanent freischalten, allerdings ist die Kommunikation dann verschlüsselt. Zudem hast du eine weitere Authentifizierung.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
07.09.2006, 13:48
...neu hier

Themenstarter

Beiträge: 3
#3 Hi, thx für deine Antwort.


Der Firewall ist ja mein Host-Name bekannt, die ist statisch.
Diesem Host-Name weise ich dynamisch eine IP-Adresse zu.

Die Firewall ist nun in der Lage, den Namen aufzulösen und somit die aktuelle zugeordnete IP herauszufinden.
Sollte diese IP mit der aufrufenden IP übereinstimmen, so wird Zugang gewährt.

Habe mittlerweile auch ein Router gefunden der das ermöglicht, aber immernoch keine Firewall.

http://www.vigor-users.de/index.htm?gr_firewall.htm

Punkt 2, Filterregeln.

Falls jemand eine kennt,würd ich mich freuen.
Seitenanfang Seitenende
07.09.2006, 16:18
Moderator
Avatar hevtig

Beiträge: 2307
#4

Zitat

KhaledFFM postete
Hintergrund:
Ich möchte mein Rechner komplett remote steuern können, weltweit,zu jeder Zeit und von jedem System ohne andere Software zu installieren.
Also ich verstehe es immer noch nicht ganz.
Dein Hostname ist ja nicht dein dyndns- Name, sondern dein Rechnername. Wenn du es

Zitat

von jedem System
nutzen möchtest ändert sich also auch dein Hostname, oder nicht? Anderer Rechner, anderer Hostname.
Wenn du natürlich z.B. immer mit deinem Laptop auf deinen Heimrechner zugreifen möchtest könnte es gehen, es sei denn die Namensauflösung schlägt fehl.

Ich kann natürlich auch voll auf dem falschen Dampfer sein, aber teste du doch mal aus.

Code

tracert deinname.2mydns.com
Dann hast du deine IP
dann:

Code

ping-a deine IP
solle deinen Hostname geben. Das geht natürlich nur, wenn du Ping aus dem Internet akzeptierst ;)
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
07.09.2006, 19:19
...neu hier

Themenstarter

Beiträge: 3
#5 Okay, glaub ich hab mich etwas unverständlich ausgedrückt und wahrscheinlich auchnoch Hostname mit DynDNS-Name verwechselt ;)


Aaaaaalso, nochma ganz langsam.

Wir haben: 1)Mein Heimrechner 2)Beliebigen Fremdrechner

www.2mydns.com ermöglicht es mir, einem festen namen, eine beliebige IP zu zuweisen. Ich habe als namen jetzt mal als Beispiel: meinname.2mydns.com

meinname.2mydns.com kann ich jederzeit über das Web-Interface des Anbieters 2mydns.com eine IP zuweisen. Das heisst wenn ich bock hätte, kann ich sie verlinken wohin ich will.
Ich möchte jedoch meinname.2mydns.com die IP des Fremdrechners auf dem ich dann in Timbuktu sitze, zuweisen.

Jetzt habe ich meinname.2mydns.com die IP 123.45.6.789 zugewiesen. Das ist die IP des Fremdrechners.


Auf meinem Heimrechner steht jetzt unter Regeln: "Erlaube nur meinname.2mydns.com diesen Port zu benutzen".


So, jetzt greife ich von dem Fremrechner auf mein Heimrechner zu.
Die Firewall löst den DynDNS-Namen in eine IP auf,bekommt 123.45.6.789, vergleicht diese IP mit der des aufrufenden Rechners und BANG ! akzeptiert...

Da ich dem DynDNS-Namen vorher meine Fremdrechner-IP zugewiesen habe, lässt er mich passieren und ich kann mein super ausgefallenes Passwort eintippeln.

Ist mein Hirnfurz jetzt verständlich? :p
Also ich denk ma dass es gehen müsste, vielleicht hab ich irgendwo nen Denkfehler.



Den "tracert" befehl habe ich mit meinem DynDNS-Namen ausprobiert und ich erreiche meine momentane IP bzw. die des Routers, der sie ständig automatisch aktualisiert.


Greetz ;)
Seitenanfang Seitenende
07.09.2006, 22:12
Moderator
Avatar hevtig

Beiträge: 2307
#6 Hi,

verstanden habe ich dich schon, bin mir dennoch nicht sicher, ob das hinhauen wird.
Ich habe jetzt eben mal selbst bei mir getestet.
- ich habe eine dyndns- Adresse (z.B. meinname.dyndns.org)
- über den tracert bekomme ich meine ip

Code

tracert meinname.dyndns.org
- habe nun meine z.B. IP 123.234.234.32
- da mir die IP aber nicht viel bringt muß ich sie wieder auflösen

Code

ping -a 123.234.234.32
- was kommt raus?

Code

xxxxxxx.dip0.t-ipconnect.de
wo ist meine dyndns- Adresse?

Du bräuchtest eine Firewall, die nicht den DNS namen auflöst, sondern selber die dyndns Adresse nach der IP überprüft und dann vergleicht.

Ist mir leider keine geläufig. Zudem könntest du Probleme bei Proxies etc. bekommen.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: