ProHoster > Блог > Nchịkwa > Ndụmọdụ & aghụghọ Linux: sava, mepee

Ndụmọdụ & aghụghọ Linux: sava, mepee

Maka ndị chọrọ inye onwe ha, ndị ha hụrụ n'anya, ịnweta sava ha site na ebe ọ bụla n'ụwa site na SSH / RDP / ọzọ, obere RTFM / spur.

Anyị kwesịrị ime na-enweghị VPN na mgbịrịgba ndị ọzọ na whistles, site na ngwaọrụ ọ bụla dị n'aka.

Na ka ị ghara imega ahụ nke ukwuu na ihe nkesa.

Ihe niile ị chọrọ maka nke a bụ kụọ aka, ogwe aka kwụ ọtọ na nkeji ise nke ọrụ.

"Ihe niile dị na ịntanetị," n'ezie (ọbụlagodi na Habré), ma a bịa na mmejuputa a kapịrị ọnụ, nke a bụ ebe ọ na-amalite ...

Anyị ga-eji Fedora/CentOS eme ihe dịka ọmụmaatụ, mana nke ahụ adịghị mkpa.

The spur dị mma maka ma ndị mbido na ndị ọkachamara n'okwu a, ya mere a ga-enwe nkwupụta, ma ha ga-adị mkpụmkpụ.

1. Ihe nkesa

  • tinye ihe nkesa ịkụ aka:
    yum/dnf install knock-server

  • hazie ya (dịka ọmụmaatụ na ssh) - /etc/knockd.conf:

    [options]
    UseSyslog
    interface = enp1s0f0
[SSHopen]
    sequence        = 33333,22222,11111
    seq_timeout     = 5
    tcpflags        = syn
    start_command   = iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    cmd_timeout     = 3600
    stop_command    = iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
[SSHclose]
    sequence        = 11111,22222,33333
    seq_timeout     = 5
    tcpflags        = syn
    command         = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

    Edobere akụkụ “mmepe” ka ọ ga-emechi akpaghị aka ka elekere 1 gachara. Ị maghị...

  • /etc/sysconfig/iptables:

    ...
-A INPUT -p tcp -m state --state NEW -m tcp --dport 11111 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22222 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 33333 -j ACCEPT
...

  • n'iru:

    service iptables restart
service knockd start

  • ị nwere ike tinye RDP na mebere Windows Server na-agbagharị n'ime (/etc/knockd.conf; dochie interface aha iji dabara gị ụtọ):

    [RDPopen]
    sequence        = 44444,33333,22222
    seq_timeout     = 5
    tcpflags        = syn
    start_command   = iptables -t nat -A PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
    cmd_timeout     = 3600
    stop_command    = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
[RDPclose]
    sequence        = 22222,33333,44444
    seq_timeout     = 5
    tcpflags        = syn
    command         = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

    Anyị na-esochi kicks anyị niile n'aka onye ahịa na ihe nkesa na iwu ahụ iptables -S.

2. Nduzi rake

akụ.conf:

Mana nwekwara ihe niile (mana nke a ezighi ezi), mana kụrụ aka bụ enyi na-agụkarị ozi, yabụ ịkwesịrị ịkpachara anya.

  • mbipute
    Na ebe nchekwa Fedora/CentOS, akụ kacha ọhụrụ taa bụ 0.63. Onye chọrọ UDP - chọọ ngwugwu 0.70.
  • interface
    Na ndabara Fedora/CentOS nhazi ahịrị a ọ dịghị. Tinye aka gị, ma ọ bụghị na ọ gaghị arụ ọrụ.
  • nkeji oge
    N'ebe a, ị nwere ike ịhọrọ dịka mmasị gị si dị. Ọ dị mkpa na onye ahịa ahụ nwere oge zuru oke maka ịkụ ọkpọ niile - na bot scanner ọdụ ụgbọ mmiri ga-akụda (na 146% ga-enyocha).
  • mmalite/kwụsị/iwu.
    Ọ bụrụ na enwere otu iwu, wee nye iwu, ọ bụrụ na enwere abụọ, wee malite_command+stop_command.
    Ọ bụrụ na imehie ihe, ịkụ aka ga-agbachi nkịtị, mana ọ gaghị arụ ọrụ.
  • ogbugba
    N'ụzọ doro anya, enwere ike iji UDP mee ihe. Na omume, m gwakọtara tcp na udp, onye ahịa si n'ụsọ osimiri dị na Bali nwere ike imeghe ọnụ ụzọ ámá naanị nke ise. N'ihi na TCP rutere mgbe achọrọ ya, mana UDP abụghị eziokwu. Mana nke a bụ ihe ụtọ, ọzọ.
  • usoro
    Rake nke doro anya bụ na usoro ahụ ekwesịghị ịgbachitere... ka esi etinye ya...

Dịka ọmụmaatụ, nke a:

open: 11111,22222,33333
close: 22222,11111,33333

Ọnụahịa kasị elu nke 11111 -emeghe ga-echere mgba na-esote na 22222. Otú ọ dị, mgbe nke a gasịrị (22222) ịgba ọ ga-amalite ịrụ ọrụ nso na ihe niile ga-agbaji. Nke a dabere na igbu oge nke onye ahịa. Ihe ndị dị otú ahụ ©.

iptables

Ọ bụrụ na /etc/sysconfig/iptables nke a bụ:

*nat
:PREROUTING ACCEPT [0:0]

Ọ naghị enye anyị nsogbu, yabụ ebe a bụ:

*filter
:INPUT ACCEPT [0:0]
...
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Ọ na-egbochi.

Ebe ịkụ aka na-agbakwunye iwu na njedebe nke yinye INPUT, anyị ga-ajụ.

Na ịgbanyụ ọjụjụ a pụtara imepe ụgbọ ala na ikuku niile.

Ka ị ghara ịla n'iyi na iptables ihe ị ga-etinye tupu ihe (dị ka nke a ndị mmadụ aro) ka anyị mee ka ọ dị mfe:

  • ndabara na CentOS/Fedora nke mbụ a ga-eji ihe na-abụghị dochie iwu ahụ ("ihe na-agaghị amachibidoro iwu").
  • ma anyị na-ewepụ iwu ikpeazụ.

Nsonaazụ kwesịrị ịbụ:

*filter
:INPUT DROP [0:0]
...
#-A INPUT -j REJECT --reject-with icmp-host-prohibited

Ị nwere ike, n'ezie, mee REJECT kama DROP, mana ndụ DROP ga-atọ ụtọ karịa maka bots.

3. Onye ahịa

Ebe a bụ ihe kacha adọrọ mmasị (site n'echiche m), ebe ọ bụ na ịkwesịrị ịrụ ọrụ ọ bụghị naanị site na osimiri ọ bụla, kamakwa site na ngwaọrụ ọ bụla.

Na ụkpụrụ, e depụtara ọtụtụ ndị ahịa na saịtị oru ngo, ma nke a sitere na otu usoro "ihe niile dị na ịntanetị." Ya mere, m ga-edepụta ihe na-arụ ọrụ na mkpịsị aka m ebe a na ugbu a.

Mgbe ị na-ahọrọ onye ahịa, ịkwesịrị ijide n'aka na ọ kwadoro nhọrọ igbu oge n'etiti ngwugwu. Ee, enwere ọdịiche dị n'etiti osimiri na megabit 100 anaghị ekwe nkwa na ngwugwu ga-abata n'usoro ziri ezi n'oge kwesịrị ekwesị site na ebe enyere.

Ma ee, mgbe ị na-edozi onye ahịa, ịkwesịrị ịhọrọ igbu oge n'onwe gị. Ogologo oge - bots ga-awakpo, obere - onye ahịa agaghị enwe oge. Ogologo oge na-egbu oge - onye ahịa agaghị eme ya n'oge ma ọ bụ na a ga-enwe esemokwu nke ndị nzuzu (lee "rakes"), ntakịrị ntakịrị - ngwugwu ga-efunahụ na Ịntanetị.

Na oge nkwụsị = 5s, igbu oge = 100..500ms bụ nhọrọ na-arụ ọrụ kpamkpam

Windows

N'agbanyeghị otú ọ na-ada ụda, ọ bụ ihe na-adịghị mkpa na Google onye ahịa kụrụ aka maka ikpo okwu a. Dị otú ahụ na CLI na-akwado igbu oge, TCP - na enweghị ụta.

N'aka nke ọzọ, ị nwere ike ịnwale nka bu ya. O doro anya na Google m abụghị achicha.

Linux

Ihe niile dị mfe ebe a:

dnf install knock -y
knock -d <delay> <dst_ip> 11111 22222 33333

MacOS

Ụzọ kachasị mfe bụ ịwụnye ọdụ ụgbọ mmiri site na homebrew:
brew install knock
ma see faịlụ batch dị mkpa maka iwu dịka:

#!bin/sh
knock -d <delay> <dst_ip> 11111 22222 33333

iOS

Nhọrọ na-arụ ọrụ bụ KnockOnD (n'efu, site na ụlọ ahịa).

android

"Kụọ na ọdụ ụgbọ mmiri" Ọ bụghị mgbasa ozi, mana ọ na-arụ ọrụ. Na ndị mmepe na-anabata nke ọma.

PS markdown na Habré, n'ezie, Chukwu gozie ya otu ụbọchị...

UPD1: daalụ nye onye oma hụrụ onye ahịa na-arụ ọrụ n'okpuru Windows.
UPD2: Ọzọ ezigbo nwoke chetaara m na itinye iwu ọhụrụ na njedebe nke iptables anaghị aba uru mgbe niile. Ma - ọ dabere.

isi: www.habr.com

Tinye a comment