მათთვის, ვისაც უნდა მიაწოდოს საკუთარ თავს, საყვარელ ადამიანებს, წვდომა მის სერვერებზე მსოფლიოს ნებისმიერი ადგილიდან SSH/RDP/სხვა, პატარა RTFM/spur-ის საშუალებით.

ჩვენ უნდა გავაკეთოთ VPN და სხვა ზარების და სასტვენების გარეშე, ხელთ არსებული ნებისმიერი მოწყობილობიდან.

და ისე, რომ სერვერთან ზედმეტი ვარჯიში არ მოგიწიოთ.

ყველაფერი რაც თქვენ გჭირდებათ ამისთვის არის დააკაკუნა, სწორი მკლავები და 5 წუთი მუშაობა.

"ყველაფერი ინტერნეტშია", რა თქმა უნდა (თუნდაც ჰაბრე), მაგრამ როცა საქმე კონკრეტულ განხორციელებას ეხება, სწორედ აქედან იწყება...

ჩვენ ვივარჯიშებთ Fedora/CentOS-ის მაგალითის გამოყენებას, მაგრამ ამას არ აქვს მნიშვნელობა.

Spur განკუთვნილია როგორც დამწყებთათვის, ასევე ექსპერტებისთვის ამ საკითხში, ამიტომ იქნება კომენტარები, მაგრამ ისინი უფრო მოკლე იქნება.

1. სერვერი

• დააინსტალირეთ knock-server:
  yum/dnf install knock-server

• დააკონფიგურირეთ იგი (მაგალითად ssh-ზე) - /etc/knockd.conf:

  [options]
      UseSyslog
      interface = enp1s0f0
  [SSHopen]
      sequence        = 33333,22222,11111
      seq_timeout     = 5
      tcpflags        = syn
      start_command   = iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
      cmd_timeout     = 3600
      stop_command    = iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  [SSHclose]
      sequence        = 11111,22222,33333
      seq_timeout     = 5
      tcpflags        = syn
      command         = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

  "გახსნის" ნაწილი დაყენებულია ავტომატურ დახურვაზე 1 საათის შემდეგ. Არასოდეს იცი...

• /etc/sysconfig/iptables:

  ...
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 11111 -j ACCEPT
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 22222 -j ACCEPT
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 33333 -j ACCEPT
  ...

• წინ:

  service iptables restart
  service knockd start

• შეგიძლიათ დაამატოთ RDP ვირტუალურ Windows სერვერზე, რომელიც ტრიალებს შიგნით (/etc/knockd.conf; ჩაანაცვლეთ ინტერფეისის სახელი თქვენი გემოვნებით):

  [RDPopen]
      sequence        = 44444,33333,22222
      seq_timeout     = 5
      tcpflags        = syn
      start_command   = iptables -t nat -A PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
      cmd_timeout     = 3600
      stop_command    = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
  [RDPclose]
      sequence        = 22222,33333,44444
      seq_timeout     = 5
      tcpflags        = syn
      command         = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

  ჩვენ ყველა ჩვენს დარტყმას კლიენტისგან სერვერზე ვაკონტროლებთ ბრძანებით iptables -S.

2. გზამკვლევი რაკი

knockd.conf:

მანა ასევე შეიცავს ყველაფერს (მაგრამ ეს არაზუსტია), მაგრამ knockd არის მეგობარი, რომელიც საკმაოდ ძუნწია შეტყობინებებში, ამიტომ ძალიან ფრთხილად უნდა იყოთ.

• ვერსია
  Fedora/CentOS საცავებში, უახლესი დარტყმა დღეისთვის არის 0.63. ვისაც სურს UDP - მოძებნეთ 0.70 პაკეტი.
• ინტერფეისი
  ნაგულისხმევი Fedora/CentOS კონფიგურაციაში ეს ხაზი არ. დაამატეთ ხელით, წინააღმდეგ შემთხვევაში არ გამოდგება.
• დროის ამოწურვა
  აქ შეგიძლიათ აირჩიოთ თქვენი გემოვნების მიხედვით. აუცილებელია, რომ კლიენტს ჰქონდეს საკმარისი დრო ყველა დარტყმისთვის - და პორტის სკანერის ბოტი გაფუჭდება (და 146% სკანირებს).
• დაწყება / გაჩერება / ბრძანება.
  თუ არის ერთი ბრძანება, მაშინ ბრძანება, თუ არის ორი, მაშინ start_command+stop_command.
  თუ შეცდომას დაუშვებთ, კაკუნი ჩუმად დარჩება, მაგრამ არ იმუშავებს.
• პროტო
  თეორიულად, UDP შეიძლება გამოყენებულ იქნას. პრაქტიკაში მე შევურიე tcp და udp და კლიენტმა ბალის სანაპიროდან მხოლოდ მეხუთედ შეძლო კარიბჭის გაღება. იმის გამო, რომ TCP მოვიდა საჭიროების შემთხვევაში, მაგრამ UDP არ არის ფაქტი. მაგრამ ეს ისევ გემოვნების საკითხია.
• თანმიმდევრობა
  ნაგულისხმევი რაკი არის ის, რომ მიმდევრობები არ უნდა იკვეთებოდეს... როგორ დავაყენოთ ეს...

მაგალითად, ეს:

open: 11111,22222,33333
close: 22222,11111,33333

დარტყმით 11111 გახსნა დაელოდება შემდეგ დარტყმას 22222-ზე. თუმცა ამ (22222) დარტყმის შემდეგ ის დაიწყებს მუშაობას ახლოს და ყველაფერი დაიშლება. ეს ასევე დამოკიდებულია კლიენტის დაგვიანებაზე. ასეთი რამ ©.

iptables

თუ /etc/sysconfig/iptables-ში ეს არის:

*nat
:PREROUTING ACCEPT [0:0]

ეს ნამდვილად არ გვაწუხებს, ასე რომ:

*filter
:INPUT ACCEPT [0:0]
...
-A INPUT -j REJECT --reject-with icmp-host-prohibited

ხელს უშლის.

ვინაიდან knockd ამატებს წესებს INPUT ჯაჭვის ბოლოს, ჩვენ მივიღებთ უარყოფას.

და ამ უარის გამორთვა ნიშნავს მანქანის გახსნას ყველა ქარისთვის.

იმისთვის, რომ iptables-ში არ დაიკარგოთ, რა ჩასვათ ადრე რა (ასეთი ადამიანები შემოგვთავაზეთ) მოდით გავამარტივოთ:

• ნაგულისხმევი CentOS/Fedora-ზე პირველი წესი („რაც არ არის აკრძალული ნებადართულია“) შეიცვლება საპირისპიროდ,
• და ჩვენ ვხსნით ბოლო წესს.

შედეგი უნდა იყოს:

*filter
:INPUT DROP [0:0]
...
#-A INPUT -j REJECT --reject-with icmp-host-prohibited

თქვენ, რა თქმა უნდა, შეგიძლიათ გააკეთოთ REJECT DROP-ის ნაცვლად, მაგრამ DROP-ით ცხოვრება უფრო სახალისო იქნება ბოტებისთვის.

3. კლიენტი

ეს ადგილი ყველაზე საინტერესოა (ჩემი გადმოსახედიდან), ვინაიდან თქვენ გჭირდებათ მუშაობა არა მხოლოდ ნებისმიერი პლაჟიდან, არამედ ნებისმიერი მოწყობილობიდან.

პრინციპში, რამდენიმე კლიენტია ჩამოთვლილი ონლაინი პროექტი, მაგრამ ეს არის იგივე სერიიდან "ყველაფერი ინტერნეტშია". ამიტომ, მე ჩამოვთვლი იმას, რაც ჩემს ხელთაა აქ და ახლა.

კლიენტის არჩევისას, თქვენ უნდა დარწმუნდეთ, რომ იგი მხარს უჭერს პაკეტებს შორის დაყოვნების ვარიანტს. დიახ, არსებობს განსხვავებები პლაჟებს შორის და 100 მეგაბიტი არასოდეს იძლევა გარანტიას, რომ პაკეტები ჩამოვა სწორი თანმიმდევრობით, საჭირო დროს, მოცემული ადგილიდან.

დიახ, კლიენტის დაყენებისას თქვენ თავად უნდა აირჩიოთ შეფერხება. ძალიან ბევრი ტაიმაუტი - ბოტები თავს დაესხმებიან, ძალიან ცოტა - კლიენტს დრო არ ექნება. ძალიან დიდი შეფერხება - კლიენტი ამას დროულად ვერ მიაღწევს, ან იქნება იდიოტების კონფლიქტი (იხ. „რაკები“), ძალიან ცოტა - პაკეტები დაიკარგება ინტერნეტში.

დროის ამოწურვით=5წმ, დაგვიანებით=100..500ms არის სრულიად მოქმედი ვარიანტი

Windows

რაც არ უნდა სასაცილოდ ჟღერდეს, საკმაოდ არატრივიალურია Google-ში ამ პლატფორმის მკაფიო დარტყმის კლიენტი. ისეთი, რომ CLI მხარს უჭერს დაყოვნებას, TCP - და მშვილდების გარეშე.

გარდა ამისა, შეგიძლიათ სცადოთ ეს არის ის. როგორც ჩანს, ჩემი Google არ არის ნამცხვარი.

Linux

აქ ყველაფერი მარტივია:

dnf install knock -y
knock -d <delay> <dst_ip> 11111 22222 33333

MacOS

უმარტივესი გზაა პორტის დაყენება homebrew-დან:
brew install knock
და დახაზეთ საჭირო სურათების ფაილები ბრძანებებისთვის, როგორიცაა:

#!bin/sh
knock -d <delay> <dst_ip> 11111 22222 33333

iOS

სამუშაო ვარიანტია KnockOnD (უფასო, მაღაზიიდან).

Android

"დააკაკუნე პორტებზე" არა რეკლამა, მაგრამ უბრალოდ მუშაობს. და დეველოპერები საკმაოდ რეაგირებენ.

PS შენიშვნა ჰაბრეზე, რა თქმა უნდა, ღმერთმა დალოცოს იგი ოდესმე...

Upd1: მადლობა კარგ ადამიანს ნაპოვნია სამუშაო კლიენტი Windows-ის ქვეშ.
Upd2: Სხვა კარგი კაცი გამახსენდა, რომ iptables-ის ბოლოს ახალი წესების დადება ყოველთვის არ არის სასარგებლო. მაგრამ - ეს დამოკიდებულია.

წყარო: www.habr.com