動的IP(tinyproxyなど)のホワイトリストを自動的に管理しますか?

動的IP(tinyproxyなど)のホワイトリストを自動的に管理しますか?

個人用にTinyproxyを実行するVPSと、開発用にnginxを実行するVPSがあります。私の製品を自動的にホワイトリストに追加するために使用できるプロトコル/デーモンはありますか?動的知的財産権?このように、Tinyproxyは私のIPへの接続のみを許可し、nginxは私のIPのみを提供します。

たとえば、サブドメインを使用しています123.123.0.0/16が、これはまだ脆弱に見え、時にはISPが私を迷惑にするために2番目のクワッドを変更します。

私はbashスクリプト、iptables、noipを使ってこれを行うことができると思いますが、これは私の興味です。

  • 第三者サービスへの依存。
  • 複数のデバイス(自宅、職場、携帯電話、タブレット)に複数の動的IP名が必要です(したがって有料アカウントが必要になる場合があります)。
  • 追加の障害点です。 noipがダウンするとアクセスできません。

私は今日これを自動化するためのデーモンを書くというアイデアを持っていて、それが面白い練習になると思いましたが、車輪を再発明したくありませんでした。

これが私が考える方法です。単一のソリューションがない場合は、一部がすでに完了している可能性があります。

  • プログラムによって予約された構成ファイルの角かっこで囲まれた部分。例えば、tinyproxy.conf:

#!-autowhitelist section-do not change anything below this--

allow 123.123.123.123 allow 123.123.123.124

#-!-autowhitelist section-do not change anything above this--

  • サーバーはそのポートで実行され、すべての接続を受け入れます。 。
  • クライアントはこのポートに接続して登録を要求します。
  • サーバーが認証を実行する(事前に保存された公開鍵による試行 - 応答)
  • 認証された場合、tinyproxy.confをスキャンし、許可行を最後の行に置き換えます。N(設定可能)登録する唯一のクライアントです。
  • 実行しますservice tinyproxy reload(既存の接続を尊重する必要があると思います)。
  • それとも修正されたルールかもしれませんiptablesが、どちらがより良い解決策であるかを考慮しませんでした。システムレベルのホワイトリストはより安全で強力ですが、設定レベルはより柔軟でロギングなどを可能にします。

サーバープログラムには、さまざまな形式(tinyproxy用の1つ、nginx用の1つ、冒険心がある場合はsshd用の1つなど)の構成ファイルを処理する動的スクリプトがあります。

そこに見られるアイデアやセキュリティホールがありますか?

関連情報