למי שצריך לספק לעצמם, ליקיריהם, גישה לשרתים מכל מקום בעולם באמצעות SSH/RDP/אחר, RTFM/דורבן קטן.

אנחנו צריכים להסתדר בלי VPN ושאר פעמונים ושריקות, מכל מכשיר בהישג יד.

וכדי שלא תצטרכו להתאמן יותר מדי עם השרת.

כל מה שאתה צריך בשביל זה הוא דפק, ידיים ישרות ו-5 דקות עבודה.

"הכל נמצא באינטרנט," כמובן (אפילו על האברה), אבל כשמדובר ביישום ספציפי, כאן זה מתחיל...

נתרגל שימוש ב-Fedora/CentOS כדוגמה, אבל זה לא משנה.

הדורבן מתאים גם למתחילים וגם למומחים בעניין הזה, אז יהיו הערות אבל יהיו קצרות יותר.

1. שרת

• התקן knock-server:
  yum/dnf install knock-server

• הגדר אותו (למשל ב-ssh) - /etc/knockd.conf:

  [options]
      UseSyslog
      interface = enp1s0f0
  [SSHopen]
      sequence        = 33333,22222,11111
      seq_timeout     = 5
      tcpflags        = syn
      start_command   = iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
      cmd_timeout     = 3600
      stop_command    = iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  [SSHclose]
      sequence        = 11111,22222,33333
      seq_timeout     = 5
      tcpflags        = syn
      command         = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

  חלק "הפתיחה" מוגדר לסגירה אוטומטית לאחר שעה. אי אפשר לדעת...

• /etc/sysconfig/iptables:

  ...
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 11111 -j ACCEPT
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 22222 -j ACCEPT
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 33333 -j ACCEPT
  ...

• קָדִימָה:

  service iptables restart
  service knockd start

• אתה יכול להוסיף RDP לשרת Windows הווירטואלי שמסתובב בפנים (/etc/knockd.conf; החלף את שם הממשק לפי טעמך):

  [RDPopen]
      sequence        = 44444,33333,22222
      seq_timeout     = 5
      tcpflags        = syn
      start_command   = iptables -t nat -A PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
      cmd_timeout     = 3600
      stop_command    = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
  [RDPclose]
      sequence        = 22222,33333,44444
      seq_timeout     = 5
      tcpflags        = syn
      command         = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

  אנו עוקבים אחר כל הבעיטות שלנו מהלקוח בשרת עם הפקודה iptables -S.

2. מדריך למגרפות

knockd.conf:

המאנה מכיל גם הכל (אבל זה לא מדויק), אבל knockd הוא חבר שדי קמצן בהודעות, אז אתה צריך להיות מאוד זהיר.

• גרסה
  במאגרי Fedora/CentOS, ה-knockd האחרון להיום הוא 0.63. מי שרוצה UDP - חפש 0.70 חבילות.
• ממשק
  בתצורת ברירת המחדל של Fedora/CentOS שורה זו לא. מוסיפים עם הידיים, אחרת זה לא יעבוד.
• פסק זמן
  כאן תוכלו לבחור לפי טעמכם. יש צורך שללקוח יהיה מספיק זמן לכל הבעיטות - והבוט של סורק הפורטים יתקלקל (ו-146% יסרוק).
• התחל/עצור/פקודה.
  אם יש פקודה אחת, אז פקודה, אם יש שתיים, אז start_command+stop_command.
  אם אתה עושה טעות, knockd ישתוק, אבל לא יעבוד.
• פרוטו
  תיאורטית, ניתן להשתמש ב-UDP. בפועל ערבבתי tcp ו-udp, והלקוח מהחוף בבאלי הצליח לפתוח את השער רק בפעם החמישית. כי TCP הגיע כשצריך, אבל UDP היא לא עובדה. אבל זה שוב עניין של טעם.
• רצף
  המגרפה המשתמעת היא שהרצפים לא צריכים להצטלב... איך לנסח את זה...

לדוגמה, זה:

open: 11111,22222,33333
close: 22222,11111,33333

בבעיטה 11111 לפתוח ימתין לבעיטה הבאה ב-22222. עם זאת, לאחר הבעיטה הזו (22222) זה יתחיל לעבוד close והכל ישבר. זה תלוי גם בעיכוב של הלקוח. דברים כאלה ©.

iptables

אם ב-/etc/sysconfig/iptables זה:

*nat
:PREROUTING ACCEPT [0:0]

זה לא ממש מפריע לנו, אז הנה זה:

*filter
:INPUT ACCEPT [0:0]
...
-A INPUT -j REJECT --reject-with icmp-host-prohibited

זה כן מפריע.

מכיוון ש-knockd מוסיף חוקים לסוף שרשרת INPUT, נקבל דחייה.

וכיבוי הדחייה הזה אומר לפתוח את המכונית לכל הרוחות.

כדי לא ללכת לאיבוד ב-iptables מה להכניס לפני מה (ככה אנשים מציע) בואו נעשה את זה פשוט יותר:

• בְּרִירַת מֶחדָל על CentOS/Fedora ראשון הכלל ("מה שלא אסור מותר") יוחלף בהיפך,
• ואנו מסירים את הכלל האחרון.

התוצאה צריכה להיות:

*filter
:INPUT DROP [0:0]
...
#-A INPUT -j REJECT --reject-with icmp-host-prohibited

אתה יכול, כמובן, לעשות REJECT במקום DROP, אבל עם DROP החיים יהיו מהנים יותר עבור בוטים.

3. לקוח

המקום הזה הוא המעניין ביותר (מנקודת מבטי), מכיוון שאתה צריך לעבוד לא רק מכל חוף, אלא גם מכל מכשיר.

באופן עקרוני, מספר לקוחות רשומים ב מקוון הפרויקט, אבל זה מאותה סדרה "הכל באינטרנט". לכן, אפרט מה עובד בקצות האצבעות שלי כאן ועכשיו.

בעת בחירת לקוח, עליך לוודא שהוא תומך באפשרות ההשהיה בין מנות. כן, יש הבדלים בין חופים ו-100 מגה-ביט לעולם לא מבטיחים שהמנות יגיעו בסדר הנכון בזמן הנכון ממיקום נתון.

וכן, בעת הקמת לקוח, אתה צריך לבחור את העיכוב בעצמך. יותר מדי פסק זמן - בוטים יתקפו, מעט מדי - ללקוח לא יהיה זמן. יותר מדי עיכוב - הלקוח לא יגיע בזמן או שתהיה התנגשות של אידיוטים (ראה "גרפות"), מעט מדי - החבילות ילכו לאיבוד באינטרנט.

עם פסק זמן = 5 שניות, השהיה = 100..500 אלפיות השנייה היא אפשרות עובדת לחלוטין

Windows

לא משנה כמה זה נשמע מצחיק, זה די לא טריוויאלי לגוגל לקוח נוק ברור לפלטפורמה הזו. כזה שה-CLI תומך ב-delay, TCP - וללא קשתות.

לחילופין, אתה יכול לנסות זה. כנראה שהגוגל שלי הוא לא עוגה.

לינוקס

הכל פשוט כאן:

dnf install knock -y
knock -d <delay> <dst_ip> 11111 22222 33333

MacOS

הדרך הקלה ביותר היא להתקין את הפורט מ-homebrew:
brew install knock
וצייר את קבצי האצווה הדרושים עבור פקודות כמו:

#!bin/sh
knock -d <delay> <dst_ip> 11111 22222 33333

iOS

אפשרות עבודה היא KnockOnD (חינם, מהחנות).

אנדרואיד

"דפוק על יציאות" לא פרסום, אבל זה פשוט עובד. והמפתחים מגיבים למדי.

נ.ב סימון על האברה, כמובן, אלוהים יברך אותו מתישהו...

UPD1: הודות ל לאדם טוב מצאתי לקוח עובד תחת Windows.
UPD2: עוד אחד איש טוב הזכיר לי שהוספת כללים חדשים בסוף iptables לא תמיד שימושית. אבל - זה תלוי.

מקור: www.habr.com