Ho letto diversi post che indicano che la ricerca inversa DNS non può essere considerata attendibile, in quanto qualcuno può spoofare il DNS, quindi quando viene creata una regola che consente il traffico attraverso DNS, è possibile sfruttarlo.
Tuttavia, non è così facile falsificare un IP, giusto? Almeno, non ne sono consapevole.
Se conosco la sottorete specifica da cui proviene sempre la fonte, non posso usarla oltre alla corrispondenza DNS?
Sto usando HAProxy e credo che dovrei essere in grado di eguagliare il DNS e se la fonte è nella sottorete 99.99.99.9x. Che sarebbe essenzialmente come
se host è blah.mydns.com AND src è 99.99.99.9x - > ACCEPT
Questo mi permetterebbe di avere il vantaggio della flessibilità del DNS - nessun IP esplicito necessario per definire e nuove macchine sulla mia rete. E anche affermare che provengono da una rete che riconosco.
Ho anche letto sulla combinazione di certificati SSL con questo per affermare una fonte corretta, che suona come una buona idea anche se ho difficoltà a capire come integrarla con cose come l'inoltro e il controllo SSH.
Questa domanda potrebbe essere ridondante su questo forum, ma quello che cerco davvero è un feedback se questa è una buona idea o una cattiva idea. Nessuna soluzione di sicurezza è perfetta, qualsiasi sfruttatore può fare qualsiasi cosa in termini di tempo e motivazione - ma questo rende i tentativi molto più difficili?