Port für Dynamische IP öffnen

[kingcaN]

Hallo,
Ich habe es endlich geschafft.... freetz läuft auf meiner Box.
Es läuft alles soweit gut, doch ein Problem habe ich noch.

Ist es möglich einen Port für eine dynamische IP zu öffnen?
Ich habe folgendes versucht (jedoch ohne erfolg):
tcp dynamischeaddresse.dyndns.org:5555 0.0.0.0:5555 0 # TEST

Ich danke euch im Voraus für eure Hilfe.

 

[sf3978]

Ist es möglich einen Port für eine dynamische IP zu öffnen?

Versuch mal dein Problem genauer zu beschreiben. Was willst Du mit der Portweiterleitung machen/erreichen?

 

[stinkstiefel]

Ich machs mal kurz. Das was kingcaN vor hat ist sinnfrei. DynDNS-Adressen werden vom Paketfilter nicht unterstützt.

 

[sf3978]

Es gibt Paketfilter, die DynDNS-Adressen unterstützen:

ext_if2 = "fxp1"
client1 = "****.####.nu"
client2 = "+++++.*****.cx"

rdr pass on $ext_if2 inet proto tcp from { [B]$client1 $client2[/B] } port >45000 to $ext_if2:0 \ port 5222:5223 -> $jail4 port 5222:5223

 

[kingcaN]

Also ich möchte, dass nur ein Freund auf diesen Port zugreifen kann. Da er aber keine statische Addresse hat, weiss ich nicht wie ich das Problem ohne dyndns lösen kann.

 

[sf3978]

Geht da vielleicht eine client-LAN- oder LAN-LAN-Verbindung im VPN, zwischen dem PC/Router deines Freundes und deiner FritzBox? Wenn ja, dann kannst Du das ohne DynDNS-Adressen configurieren/einstellen.

EDIT:
Eine andere Möglichkeit/Lösung wäre, zu testen ob dieses Script hier oder ein angepasstes/geändertes Script, mit iptables auf der FritzBox funktioniert und wenn ja, dann iptables zu benutzen.

 

[alpha1974]

Mit dem von sf3978 genannten Skript dürfte es -gesteuert über einen cronjob- problemlos möglich sein, rules für iptables dynamisch zu erzeugen.

Das ganze bringt aber natürlich nur dann etwas, wenn der gewünschte Port auch in der AVM-Firewall dauerhaft geöffnet ist. Alternativ könnte man versuchen, die AVM-Firewall ebenfalls per Skript/cron im laufenden Betrieb dynamisch zu konfigurieren. Über das Freetz-WebIF geht das ja auch. Da das aber Änderungen an ar7.cfg erfordert und zudem Reboot-gefährdet ist, dürfte es nicht trivial sein, ein entsprechendes Skript "mal eben" zu coden.

 

[stinkstiefel]

Ich kann von diesem gefrickel für DynDNS-Adressen nur abraten. Wenn ein Dienst nur für bestimmte Personen verfügbar sein soll, ist das richtige Mittel zum Zweck eine entsprechende Autentifzierung.

 

[alpha1974]

Das sehe ich ganz genauso. Am besten gefällt mir aber der Ansatz, in den Firewalls (avm-firewall und iptables) erstmal alles dicht zu machen und nur das Erforderliche zu öffnen und zwar zusätzlich zur Authentifizierung.

 

[sf3978]

Hermann hatte das auch schon realisiert. Siehe hier.

 

[kingcaN]

Vielen Dank für die Hilfe. Also einen Lösungsweg hab ich jetzt schonmal.

Wäre es vielleicht eleganter das ganze über eine Mac-Adresse zu lösen?

 

[MaxMuster]

... geht nicht, die MAC-Adresse siehst du nur von "direkt angeschlossenen" Geräten (z.B. im LAN), alles was geroutet bei dir ankommt (durchs Internet z.B.), kannst du nur über die IP unterscheiden.

Jörg