ich würde folgendes szenario gerne SICHER lösen:

mein rechner hängt zuhause an nem DSL als standleitung. ich möchte aber gerne von "unterwegs" auf meine kontakte, mails, dateien, etc. zugreifen. um das ganze sicher zu machen sollte sich der client (also ich) erstmal authentifizieren und dann sollte die firewall (ipchains/iptables) die ports für die gewünschten services (http, ssh, mail) aufmachen. geht sowas? (ich dachte irgendwie an ldap).

fuer was willst du ldap nutzen?

nur fuer die authentifzierung oder auch fuer die zu holenden daten....

fuer dich alleine ist wohl ldap ueberzogen ich wuerde hier radius verwenden, da du dann spaeter total ohne probleme auf ldap umsteigen kannst.....

das wichtigste hierbei ist aber zu wissen, wie du auf die daten zugreifen willst (Client und server programm und protokoll), willst du die kommunikation tunneln, was willstn nu ;)=

joey

eigentlich wollte ich auch ldap verwenden, um auf meine kontakte zuzugreifen.

wie ich auf die daten zugreifen wollte:
- kontakte = ldap (openldap)
- mail lesen = wahrscheinlich imap (???)
- mail senden = smtp (postfix)
- dateien = smb (samba) oder auch was anderes?
- evtl ssh für remote admin
- evtl http für webmin

nur wäre das ganze ja irgendwie unsicher. deshalb sollte die firewall ja erst die ports für die o.g. services öffnen, wenn ich mich authentifiziert habe.

ja, also dynamsiche firewall regeln...

dann wuerd ich halt 2 iptable skripten machen.... also eine standard. du kannst dich dann ueber nen dienst (web oder was auch immer) und pam authentifzieren (ueber ldap) und dann wird n neues iptables skript fuer deine aktuelle ip gestartet... das waer doch das einfachste oder

joey

hi

ne Idee wäre vielleicht auch "von außen" nur ssh zu erlauben.
Du meldest dich dann an per ssh deinem Rechner an. Das kannst du mit diesem Key-Verfahren machen. (Weiß nicht genau wie das heißt) Idem du dich andeldest wird ja eine Shell geöffnet. Du kannst dann bei deinem Login, bestimmte Befehle von der Shell ausführen lassen. So kannst du z.B. die benötigten Ports freischalten lassen. Bei der Abmeldung sieht es dann so aus, dass z.B. bash_logout ausgeführt wird, damit kannst du dann wieder deine ursprünglichen Firewallregeln setzen.
Ich hoffe ich habe mir verständlich ausgedrückt.

Steve

PS du könntest dir auch noch einen Client schreiben, damit immer nur die Sachen freigegeben werden, die du auch wirklich brauchst, bzw. du kannst einzelne Dienste abschalten/starten