ProHoster > Blag > Riarachán > Leideanna & cleasanna Linux: freastalaí, oscail suas

Leideanna & cleasanna Linux: freastalaí, oscail suas

Dóibh siúd ar gá dóibh rochtain a sholáthar dóibh féin, dá ngaolta, ar a gcuid freastalaithe ó áit ar bith ar domhan trí SSH/RDP/eile, RTFM/spor bheag.

Ní mór dúinn a dhéanamh gan VPN agus cloigíní agus feadóga eile, ó aon fheiste ar láimh.

Agus ionas nach mbeidh ort an iomarca aclaíochta a dhéanamh leis an bhfreastalaí.

Níl uait ach é seo cnag, airm dhíreach agus 5 nóiméad oibre.

“Tá gach rud ar an Idirlíon,” ar ndóigh (fiú ar Habré), ach nuair a thagann sé le cur i bhfeidhm sonrach, is é seo an áit a dtosaíonn sé ...

Déanfaimid cleachtadh ar Fedora/CentOS a úsáid mar shampla, ach is cuma faoi sin.

Tá an spor oiriúnach do thosaitheoirí agus do shaineolaithe san ábhar seo, mar sin beidh tuairimí ann, ach beidh siad níos giorra.

1. Freastalaí

  • shuiteáil freastalaí cnag:
    yum/dnf install knock-server

  • é a chumrú (mar shampla ar ssh) - /etc/knockd.conf:

    [options]
    UseSyslog
    interface = enp1s0f0
[SSHopen]
    sequence        = 33333,22222,11111
    seq_timeout     = 5
    tcpflags        = syn
    start_command   = iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    cmd_timeout     = 3600
    stop_command    = iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
[SSHclose]
    sequence        = 11111,22222,33333
    seq_timeout     = 5
    tcpflags        = syn
    command         = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

    Tá an chuid “oscailte” socraithe le dúnadh go huathoibríoch tar éis 1 uair an chloig. Ní bheadh ​​a fhios agat...

  • /etc/sysconfig/iptables:

    ...
-A INPUT -p tcp -m state --state NEW -m tcp --dport 11111 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22222 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 33333 -j ACCEPT
...

  • ar aghaidh:

    service iptables restart
service knockd start

  • is féidir leat RDP a chur le casadh fíorúil Windows Server taobh istigh (/etc/knockd.conf; cuir ainm an chomhéadain in oiriúint do do bhlas):

    [RDPopen]
    sequence        = 44444,33333,22222
    seq_timeout     = 5
    tcpflags        = syn
    start_command   = iptables -t nat -A PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
    cmd_timeout     = 3600
    stop_command    = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
[RDPclose]
    sequence        = 22222,33333,44444
    seq_timeout     = 5
    tcpflags        = syn
    command         = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

    Rianaimid ár gciceanna go léir ón gcliant ar an bhfreastalaí leis an ordú iptables -S.

2. Treoir maidir le rácaí

cnag.conf:

Tá gach rud sa mana freisin (ach tá sé seo míchruinn), ach is cara sách stingy é knockd le teachtaireachtaí, mar sin ní mór duit a bheith an-chúramach.

  • leagan
    Sna stórtha Fedora/CentOS, is é 0.63 an buaicphointe is déanaí don lá inniu. Cé atá ag iarraidh UDP - lorg 0.70 paicéad.
  • comhéadan
    Sa chumraíocht réamhshocraithe Fedora/CentOS an líne seo aon. Cuir le do lámha, nó ní oibreoidh sé.
  • Teorainn ama
    Anseo is féidir leat a roghnú de réir do bhlas. Is gá go mbeadh go leor ama ag an gcliant do na ciceanna go léir - agus brisfidh an bot scanóir calafoirt síos (agus scanadh 146%).
  • tús/stop/ordú.
    Má tá ordú amháin ann, ansin ordú, má tá dhá cheann ann, ansin start_command + stop_command.
    Má dhéanann tú botún, fanfaidh knockd ciúin, ach ní oibre.
  • mar sin
    Go teoiriciúil, is féidir UDP a úsáid. Go praiticiúil, mheasc mé tcp agus udp, agus ní raibh an cliant ón trá i Bali in ann an geata a oscailt ach an cúigiú huair. Toisc gur tháinig TCP nuair ba ghá, ach ní fíoras é UDP. Ach is ábhar blas é seo, arís.
  • seicheamh
    Is é an ráca intuigthe ná nár cheart go dtrasnaíonn na seichimh... conas é a chur...

Mar shampla, seo:

open: 11111,22222,33333
close: 22222,11111,33333

Le cic 11111 oscailt ag fanacht leis an gcéad chic eile ag 22222. Ach ina dhiaidh seo (22222) tosóidh sé ag obair gar agus brisfidh gach rud. Braitheann sé seo ar mhoill an chliaint freisin. A leithéid de rudaí ©.

iptables

Más in /etc/sysconfig/iptables é seo:

*nat
:PREROUTING ACCEPT [0:0]

Ní chuireann sé isteach orainn i ndáiríre, mar sin seo é:

*filter
:INPUT ACCEPT [0:0]
...
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Cuireann sé isteach.

Ós rud é go gcuireann knockd rialacha le deireadh an tslabhra INPUT, diúltófar dúinn.

Agus is é is brí leis an diúltú seo ná an carr a oscailt do gach gaoth.

Chun nach gcuirfear amú ar iptables cad atá le cur isteach roimh cad (mar seo daoine mol) déanaimis é níos simplí:

  • réamhshocraithe ar CentOS/Fedora chéad cuirfear a mhalairt in ionad na rialach (“an rud nach bhfuil toirmiscthe”),
  • agus bainimid an riail dheireanach.

Ba chóir go mbeadh an toradh:

*filter
:INPUT DROP [0:0]
...
#-A INPUT -j REJECT --reject-with icmp-host-prohibited

Is féidir leat, ar ndóigh, REJECT a dhéanamh in ionad DROP, ach le DROP beidh an saol níos mó spraoi do róbónna.

3. Cliant

Is é an áit seo an ceann is suimiúla (ó mo thaobh), ós rud é go gcaithfidh tú oibriú ní hamháin ó aon trá, ach freisin ó aon fheiste.

I bprionsabal, tá roinnt cliant liostaithe ar Líne tionscadal, ach tá sé seo as an tsraith chéanna "tá gach rud ar an Idirlíon." Mar sin, déanfaidh mé liosta de na rudaí atá ag obair ar mo mhéar anseo agus anois.

Agus cliant á roghnú agat, ní mór duit a chinntiú go dtacaíonn sé leis an rogha moille idir paicéid. Sea, tá difríochtaí idir tránna agus ní chinntíonn 100 meigeavata riamh go dtiocfaidh paicéid san ord ceart ag an am ceart ó áit ar leith.

Agus tá, agus cliant á bhunú agat, ní mór duit an mhoill a roghnú duit féin. An iomarca Teorainn ama - déanfaidh róbónna ionsaí, ró-bheag - ní bheidh am ag an gcliant. An iomarca moille - ní dhéanfaidh an cliant é in am nó beidh coinbhleacht idiots ann (féach “rácaí”), ró-bheag - beidh na paicéid caillte ar an Idirlíon.

Le teorainn ama=5anna, is rogha a oibríonn go hiomlán é moille=100..500ms

Windows

Is cuma cé chomh greannmhar a fhuaimeann sé, tá sé neamhfhánach do Google cliant cnag soiléir don ardán seo. Den sórt sin go dtacaíonn an CLI le moill, TCP - agus gan bows.

Mar rogha is féidir leat triail a bhaint as seo é. De réir dealraimh ní cáca é mo Google.

Linux

Tá gach rud simplí anseo:

dnf install knock -y
knock -d <delay> <dst_ip> 11111 22222 33333

MacOS

Is é an bealach is éasca ná an calafort a shuiteáil ó homebrew:
brew install knock
agus tarraing na comhaid bhaisc riachtanacha le haghaidh orduithe mar:

#!bin/sh
knock -d <delay> <dst_ip> 11111 22222 33333

iOS

Rogha oibre is ea KnockOnD (saor in aisce, ón siopa).

Android

"Cnoc ar Phoirt" Ní fógraíocht, ach oibríonn sé. Agus tá na forbróirí go leor sofhreagrach.

PS marcdown ar Habré, ar ndóigh, go mbeannaí Dia é lá éigin ...

UPD1: a bhuíochas sin do a dhuine maith fuarthas cliant oibre faoi ​​Windows.
UPD2: Ceann eile fear maith chuir sé i gcuimhne dom nach mbíonn sé úsáideach i gcónaí rialacha nua a chur ag deireadh iptables. Ach - braitheann sé.

Foinse: will.com

Add a comment