Linux tips & tricks: сервер, откройся

Тем, кому надо обеспечить себе, любимому, доступ к своим серверам из любой точки мира по SSH/RDP/иное — небольшое RTFM/шпора.

Нам нужно обойтись без VPN и других наворотов, с любого устройства под руками.

И так, чтобы с сервером не слишком упражняться.

Всё, что для этого нужно — knockd, прямые руки и 5 минут работы.

«В интернете всё есть», конечно (даже на Хабре), но когда дело доходит до конкретной реализации — тут и начинается…

Будем упражняться на примере Fedora/CentOS, но это неважно.

Шпора подойдет как новичкам, так и зубрам этого дела, поэтому будут комментарии, но покороче.

1. Сервер

  • ставим knock-server:
    yum/dnf install knock-server

  • настраиваем его (например на ssh) — /etc/knockd.conf:

    [options]
        UseSyslog
        interface = enp1s0f0
    [SSHopen]
        sequence        = 33333,22222,11111
        seq_timeout     = 5
        tcpflags        = syn
        start_command   = iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
        cmd_timeout     = 3600
        stop_command    = iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    [SSHclose]
        sequence        = 11111,22222,33333
        seq_timeout     = 5
        tcpflags        = syn
        command         = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

    «Открывающая» часть настроена на автозакрытие через 1 час. Мало ли…

  • /etc/sysconfig/iptables:

    ...
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 11111 -j ACCEPT
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 22222 -j ACCEPT
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 33333 -j ACCEPT
    ...

  • вперед:

    service iptables restart
    service knockd start

  • можно добавить RDP на крутящийся внутри виртуальный Windows Server (/etc/knockd.conf; название интерфейса подставить по вкусу):

    [RDPopen]
        sequence        = 44444,33333,22222
        seq_timeout     = 5
        tcpflags        = syn
        start_command   = iptables -t nat -A PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
        cmd_timeout     = 3600
        stop_command    = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
    [RDPclose]
        sequence        = 22222,33333,44444
        seq_timeout     = 5
        tcpflags        = syn
        command         = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

    Все наши пинки от клиента отслеживаем на сервере командой iptables -S.

2. Путеводитель по граблям

knockd.conf:

В манах тоже всё есть (но это неточно), однако knockd — товарищ довольно скупой на сообщения, поэтому надо быть очень внимательным.

  • версия
    В репозитариях Fedora/CentOS крайний knockd на сегодня — 0.63. Кто хочет UDP — ищите пакеты 0.70.
  • interface
    В дефолтной конфигурации Fedora/CentOS эта строка отсутствует. Добавить руками, иначе не будет работать.
  • timeout
    Здесь подобрать по вкусу. Надо чтобы и клиенту времени хватило на все пинки — и бот-сканер портов обломался (а сканировать будут 146%).
  • start/stop/command.
    Если команда одна — то command, если две — то start_command+stop_command.
    Если ошибетесь — knockd промолчит, но работать не будет.
  • proto
    Теоретически можно использовать UDP. На практике я было смешал tcp и udp, а клиент с пляжа в Бали смог открыть себе калитку только с пятого раза. Ибо TCP долетели когда надо, а UDP — не факт. Но это дело вкуса, опять же.
  • sequence
    Неявные грабли в том, что последовательности не должны пересекаться… как бы это сказать…

Например, такое:

open: 11111,22222,33333
close: 22222,11111,33333

По пинку 11111 open будет ждать следующего пинка на 22222. Однако по этому (22222) пинку начнет работать close и всё поломается. Это зависит от delay клиента в том числе. Такие дела ©.

iptables

Если в /etc/sysconfig/iptables вот это вот:

*nat
:PREROUTING ACCEPT [0:0]

нам особо не мешает, то вот это вот:

*filter
:INPUT ACCEPT [0:0]
...
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Таки мешает.

Так как knockd добавляет правила в конец цепочки INPUT, то мы получим reject.

А отключить этот reject — это открыть машину всем ветрам.

Дабы не изгаляться в iptables что куда перед чем вставлять (как вот люди предлагают) сделаем проще:

  • дефолтное в CentOS/Fedora первое правило («что не запрещено — разрешено») заменим на обратное,
  • а последнее правило убираем.

В итоге должно получиться:

*filter
:INPUT DROP [0:0]
...
#-A INPUT -j REJECT --reject-with icmp-host-prohibited

Можно, конечно, вместо DROP сделать REJECT, но с DROP ботам будет жить веселее.

3. Клиент

В этом месте самое интересное (с моей точки зрения), так как надо работать не только с любого пляжа, но и с любого устройства.

В принципе ряд клиентов перечислены на сайте проекта, но это из той же серии «в интернете всё есть». Поэтому перечислю то, что здесь и сейчас работает у меня под руками.

При выборе клиента необходимо проследить, чтобы он поддерживал опцию delay между пакетами. Да, пляж пляжу рознь и 100 мегабит ни разу не гарантируют долетание пакетов в нужном порядке в нужное время из данного места.

И да — при настройке клиента delay надо подбирать самостоятельно. Много timeout — боты нападут, мало — клиент не успеет. Много delay — клиент не успеет или будет конфликт простуков (см. «грабли»), мало — пакеты перезаблудятся в интернетах.

При timeout=5s вполне рабочий вариант delay=100..500ms

Windows

Как это ни смешно звучит, но нагуглить внятный knock-клиент под эту платформу довольно нетривиально. Такой, чтобы CLI, поддерживал delay, TCP — и без бантиков.

Как вариант можно попробовать это вот. Видимо у меня гугль не торт.

Linux

Здесь всё просто:

dnf install knock -y
knock -d <delay> <dst_ip> 11111 22222 33333

MacOS

Проще всего поставить порт из homebrew:
brew install knock
и нарисовать себе нужные батники командники вида:

#!bin/sh
knock -d <delay> <dst_ip> 11111 22222 33333

iOS

Рабочий вариант — KnockOnD (бесплатный, из магазина).

Android

«Knock on Ports». Не реклама, а просто он работает. И разработчики достаточно отзывчивые.

P.S. markdown на Хабре, конечно, дай бог ему здоровья когда-нибудь…

UPD1: благодаря хорошему человеку нашелся рабочий клиент под Windows.
UPD2: еще один хороший человек напомнил, что ставить новые правила в конец iptables не всегда полезно. Но — it depends.

Источник: habr.com