[Eisfair] dehydrated: Problem mit iptables (BFB?)

[Olaf Jaehrling]

Hallo Rolf,


Rolf Bensch schrieb am 19.10.2017 um 19:03:
> Hallo Olaf,
> 
> Am 17.10.2017 um 22:31 schrieb Olaf Jaehrling:
>> ...
>> Der Grund kann sein, dass letsencrypt.org mittlerweile


>>
>> Da kannst Du das nachvollziehen.
> 
> Hmmm, wenn ich das richtig interpretiere, genügt die Verwendung des
> DNS-Namen nicht mehr:
> 
> # /sbin/iptables -D INPUT -s letsencrypt.org -j ACCEPT
> 
> fügt dann nur eine IP-Adresse ein. Ist das soweit korrekt verstanden?
> Wie erhält mit Deinem Vorschlag LETSCHAIN die passenden IP-Adressen?
> 
> Ich dachte eigentlich die Ursache gefunden zu haben. Zumindest erhielt
> ich nach Aktivierung von DEHYDRATED_HOOK_CMD_1 direkt ein neues
> Zertifikat. Sollte ich jetzt wirklich direkt anfangen zu basteln oder
> lieber die nächste Aktualisierung abwarten?

Also, ich persönlich würde es noch viel einfacher machen :)

HOOK_CMD_1=/sbin/iptables -I INPUT -ptcp -m multiport --dport 80,443 -j
ACCEPT
HOOK_CMD_10=/sbin/iptables -D INPUT -ptcp -m multiport --dport 80,443 -j
ACCEPT

Was passiert damit?
HOOK_CMD_1 gibt Port 80 und 443 frei
HOOK_CMD_10 löscht die Freigabe wieder.

Also wäre die Freigabe nur so lange aktiv, wie das Zertifikat erneuert
wird. Das Risiko wäre also gering das genau in der Zeit ein
Einbruchsversuch aus einem gesperrten Land kommt und auch noch
Erfolgreich ist. Damit umgehst du das Problem mir den Domainnamen,
verlierst aber ein wenig Abdichtung in einer relativ kurzen Zeit.

Und mal ehrlich, wie groß ist das Risiko genau in dieser kurzen Zeit von
so einem Land angegriffen zu werden und auch noch erfolgreich?

Gruß

Olaf


> 
> Grüße Rolf