Можно ли как-то идентифицировать свой телефон средствами iptables

Тебе нужно что бы достп к определённым портам был только с него?
Тогда смотри port-knocking.
Ежели хочется другого - расскажи подробнее.

по маку

через сеть опсоса? нет.

Для особо неуловимых Джо можно распознавать по номеру порта, к которому ты будешь подключаться с телефона. В случае сколь-либо большей уловимости пост звучит так, будто бы тебе нужен VPN, но ты это еще не понял. Так что задачу в студию! На кой тебе на таком низком уровне определять, твой это телефон или нет? Китайская пластмассовая авторизация?

Мне периодически надо лазать на свой сервер, но светить им на весь интернет (или хотя бы МТС) я не хочу. Собственно вся задача.

Уже ответили - VPN
Светить телефон он не хочет, а гонять не шифрованный трафик он готов, что за идиотская постановка задачи.

а гонять не шифрованный трафик он готов

Почему же, ssh и https - чем не шифрованный трафик?

Голой жопой в сеть, зачем? Нет я понимаю когда задача подразумевает допустим вэб, но так нахрена, чтоб боты круглосуточно брутили пароль? Хочешь голой попой, тогда меняй порты, хоть маленько отсрочишь, пока тебя не найдут. И при такой постановке, нафига тебе узнавать кто там?

Господин Анонимус, по-моему мы не понимаем друг друга. Еще раз, сервисы поднятые на сервере нужны только мне и с телефона, остальных хотелось бы оградить от этих сервисов. Каким местом тогда другие люди выставляют свои сервисы в сеть? Про посадку ssh на какой-нить верхний порт я в курсе, только это фигня, а не защита, просто логи будут намного чище, чем когда висит оно на 22-м порту.

Еще раз для тех кто плохо читал, VPN. Можешь получить mac телефона. Решает твою задачу, дополнительно ограждает тебя от брутфорса

ssh и https

Ну тогда проводи авторизацию на этом уровне: SSH-ключи, клиентские сертификаты. При чем тут iptables?

ssh через vpn, отлично, отлично

Каким местом тогда другие люди выставляют свои сервисы в сеть?

Я тебя, наверное, очень удивлю, но сажают демона слушать стандартный порт и выставляют. Востребованные ставят fail2ban. А ты пытаешься извращаться на ровном месте.

Не ну а чо, если при этом сразу два презерватива надеть, то должно быть довольно безопасно.

При чем тут iptables?

Ну чтобы не брутфорсили, да и вообще не светить им просто так, раз пользоваться буду им только один я. Про презерватив тут уже упомянули, а я еще вспомнил про свечку...

Думал я про VPN, так же он будет торчать и светить на весь интернет ожидая подключения. Мне скорее port knocking подойдет. Щас посмотрю что такое фейлтюбан.

Сам придумал, сам поржал, отлично, отлично
Зыж тунелирование всеж лучше универсальными средствами делать, чтоб не пришлось через пол годика вспоминать, чтоб такого прикрутить к альтернативной оси, а то не работает

Думал я про VPN, так же он будет торчать и светить на весь интернет ожидая подключения.

И что плохого?

Мне скорее port knocking подойдет.

Нет.

Щас посмотрю что такое фейлтюбан.

О господи. Ничего не делай, пока не самообразуешься и не разберешься со своими фобиями.

и что же такого неуниверсального в ssh?

Мне периодически надо лазать на свой сервер, но светить им на весь интернет (или хотя бы МТС) я не хочу

Ты хочешь чтобы МТС доставляла пакеты на твой сервер, но при этом не знала куда она их доставляет?! Tor ?

Конечно можно с помощью iptables разрешить доступ к сервисам исключительно устройствам, с определенными маками. Но следует иметь в виду, что первый же маршрутизатор по пути от устройства до сервера при форвардинге пакетов перебьет мак-адрес, поэтому придется добавлять VPN. Как по мне, так это очень неудобная схема, которая слишком все усложняет. А чем сложнее система, тем меньше надежность, т.к. больше компонентов, которые могут содержать ошибки (и которые так же можно неправильно настроить).
Простого ssh с авторизацией по ключу более чем достаточно, т.к. ключ брутить сложно. Если добавить блокировку на пару минут ip-адреса, с которого были 2-3 неудачные попытки авторизации (fail2ban, sshguard), то скорее Солнце израсходует весь свой водород, чем кто-то физически сможет перебрать необходимое количество комбинаций.

почему ты боишься выставлять сервер в открытый интернет, какие комплексы тебе мешают, давай поговорим об этом :)

какие комплексы тебе мешают, давай поговорим об этом :)

У меня маленький половой член и избыточный вес, средненькая зарплатка и маленькая квартирка.

А по теме совет будет?

по кукам

Спасибо. Покурив эту тему и прикинув келдыш к носу, насчет ssh я склоняюсь к этой же конфигурации, которую ты и описал. А вот насчет http сервера я не уверен. У меня поднят https с самоподписным сертификатом и авторизацией, но в интернет я такое выставлять побаиваюсь. Сейчас у меня просто разрешен адрес моего компа с работы, но политика компании изменилась и теперь все сливается большому начальству. Поэтому со всеми своими личными делами собираюсь переехать на телефон.

Не вижу никакой проблемы выставлять ssh или https наружу на весь интернет, если всё грамотно настроено.

В крайнем случае можно ограничить доступ сетью мобильного оператора, смотришь в whois по выданному тебе адресу какой им там диапазон выделен, и добавляешь его в правила