Pokud nenajdeš žádné hotové řešení, tak bych to viděl na kombinaci odděleného skriptu + sudo na přidávání pravidel a atd na timeouty. Akorát si velice pečlivě ošetřuj parametry, ktere budeš předávat tomu scriptu na otvírání firewallu.

V tomhle by nepomohl projekt webmin-firewall?

Ahoj, podobnou věc jsem řešil (a možná bych ji i někde vyhrabal).

Jediné dvě myšlenky, které jsem tam použil byly

- zavést si speciální chain v iptables, do kterého se bude zasahovat z toho povolovacího/zakazovacího skriptu. Skript nebude sahat nikam jinam, takže nerozbije konfiguraci v iptables (čehož jsem se bál nejvíc)

- aktivitu zjišťovat pomocí počitadel u jednotlivých pravidel v tom chainu.

Zbytek je už jenom hrubá ruční práce (protože do iptables můžeš sahat jenom jako root )

Tak tohle řeším tak že na serveru je klasicky napsaný iptables a je do části MACFILTER vložen include. Za pomocí dat z MySQL a php vygeneruju pravidla a přepíšu vloženou část. dá se tak snadno uživatelsky "z formuláře" přidávat uživatel, zároveň mi php skript i generuje značkování paketů a htb filtry ... jenom je třeba dát si pozor na to aby při chybě přenosu -> tudíž prázdném konfiguráku byl stav firewallu průchozí a nahlásil chybu.

Proč to takhle fintit a nepoužít VPN?

Když už to má být takhle (a nechceš VPN), tak bych aplikaci doporučil rozdělit do více vrstev. Přecejen je to dost citlivá věc.

Jedna vrstva bude webová aplikace (klidně PHP, nebo něco v čem umíš , která zjistí IP adresu, ověří uživatele a zapíše do DB pravidlo, které se má nastavit.

Druhá vrstva bude program, který bude z DB číst pravidla a nastavovat je na iptables. Do DB si také poznamená, kdy pravidlo nastavil a kdy má vypršet. Program poběží v nekonečné smyčce a bude si držet jedno spojení do DB. Pokud spojení spadne, obnoví se. Pokud spadne celý proces, v cronu bude skript, který ho znovu nahodí...

Celé tohle bych nasadil na oddělený stroj, např. proto, aby špatně napsaný program nemohl ohrozit hlavní internetovou bránu podniku. Když to špatně napíšeš, tak uživatelé přijdou o vzdálený přístup, ale nezesere se ti net v celé firmě.

Bohužel je ale ještě potřeba ošetřit uživatele, kteří sdílí IP adresu, nemají vlastní veřejnou. V tom případě totiž povolíš přístup třeba tisíci lidem, místo jednoho zaměstnance.

Přijde mi to dost kostrbaté řešení, za lepší bych považoval nějaké tunelování, buď SSH nebo celou VPN.