IPではなくドメイン名に基づくWindowsファイアウォールルール
Windowsファイアウォールを介して一連のマシンへのサービスを許可しようとしています。ホームマシンをファイアウォールに追加したいのですが、ホームマシンに動的IPアドレスがあります。 dyndnsを使用して、常に接続できるホスト名を取得しています。したがって、IPの代わりにホスト名を使用できる方法があるかどうかを確認しようとしています。
ありがとう
更新
もう少し情報を追加しましょう。問題を解決する方法は他にもあるでしょう。サーバーは、RackSpaceがホストするWebサーバーです。仕事(静的IP、問題なし)と自宅(動的)からのRDPアクセスのみを許可します。私のホームIPはあまり頻繁に変更されませんが、私を困らせるほど頻繁に変更されます。これを行うにはもっと良い方法があるかもしれません...多分VPN?
ここにいくつかのオプションがあります:
- 単一のIPアドレスを使用する代わりに、ISPによって割り当てられた動的ポート範囲全体を使用します。それはあなたの近くの機械へのあなたの露出を制限するでしょう。
- SSLトンネルを使用してマシンに接続し、ローカルホストへのRDP接続を制限します。これははるかに安全ですが、最初にトンネルを確立する必要があるため、接続が少し複雑になります。接続にクライアント証明書を要求することもできます。これにより、着信接続の受け入れIP範囲を制限する必要なく、非常に安全になります。 stunnel はこの種のことをあなたに代わって行うことができます。または ncat 。
- 最後の手段として、IPSecを使用してマシンへのVPNを作成してみてください。ただし、設定は複雑で、ファイアウォールを通過するのは簡単ではありません。
VPNで作業し、RDPで作業マシンにアクセスして、そこからラックスペースサーバーに接続してみませんか。私はホップし、他のクライアントを常にトンネリングします。
私が知る限り、ルックアップを実行してルールを調整するスクリプトを記述しない限り、これを行うことはできません。
しかし、正直なところ、そうすべきではありません。DNSSECを使用している場合を除いて、DNSは実際には安全なサービスではありません(これは疑わしいです)。さらに、外部マシンからの送信接続に制限がない限り、実際にそれを行う必要はありません。ここで本当に何をしようとしていますか?
RackspaceはIPv6をサポートしていますか?その場合、トンネルブローカー(Hurricane ElectricやSixXSなど)からホームマシンの静的v6割り当てを取得できます。
この種のことは、サーバーファイアウォールではなく、境界ファイアウォールで行う必要があります。そうは言っても、あなたが何をしているのかを満足する方法を私は知りません。この場合、送信元アドレスの事前の知識に依存しない手法を使用することがはるかに望ましいでしょう。ポートノッキングは採用するのに適したテクニックですが、Windowsですぐに実現できるかどうかはわかりません。