소규모 RTFM/스퍼인 SSH/RDP/기타를 통해 전 세계 어디에서나 자신의 서버에 액세스할 수 있도록 자신과 사랑하는 사람을 제공해야 하는 사람들을 위한 것입니다.

우리는 VPN이나 ​​기타 부가 기능 없이 어떤 장치에서든 작업을 수행해야 합니다.

그리고 서버를 가지고 너무 많은 운동을 할 필요가 없도록 말이죠.

이것에 필요한 것은 노크, 팔을 곧게 펴고 5분간 작업합니다.

물론 "모든 것이 인터넷에 있습니다." 하 브레) 그러나 특정 구현에 관해서는 여기에서 시작됩니다...

예를 들어 Fedora/CentOS를 사용하여 연습하겠지만 그것은 중요하지 않습니다.

박차는 이 문제에 대한 초보자와 전문가 모두에게 적합하므로 의견이 있지만 더 짧을 것입니다.

1. 서버

• 노크 서버를 설치하십시오:
  yum/dnf install knock-server

• 구성합니다(예: ssh에서) - /etc/knockd.conf:

  [options]
      UseSyslog
      interface = enp1s0f0
  [SSHopen]
      sequence        = 33333,22222,11111
      seq_timeout     = 5
      tcpflags        = syn
      start_command   = iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
      cmd_timeout     = 3600
      stop_command    = iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  [SSHclose]
      sequence        = 11111,22222,33333
      seq_timeout     = 5
      tcpflags        = syn
      command         = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

  '열림' 부분은 1시간 후에 자동으로 닫히도록 설정되어 있습니다. 당신은 결코 알지 못합니다 ...

• /etc/sysconfig/iptables:

  ...
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 11111 -j ACCEPT
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 22222 -j ACCEPT
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 33333 -j ACCEPT
  ...

• 앞으로:

  service iptables restart
  service knockd start

• 내부에서 회전하는 가상 Windows Server에 RDP를 추가할 수 있습니다(/etc/knockd.conf; 취향에 맞게 인터페이스 이름을 대체하십시오).

  [RDPopen]
      sequence        = 44444,33333,22222
      seq_timeout     = 5
      tcpflags        = syn
      start_command   = iptables -t nat -A PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
      cmd_timeout     = 3600
      stop_command    = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
  [RDPclose]
      sequence        = 22222,33333,44444
      seq_timeout     = 5
      tcpflags        = syn
      command         = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

  다음 명령을 사용하여 서버의 클라이언트에서 모든 킥을 추적합니다. iptables -S.

2. 갈퀴에 대한 안내

knockd.conf:

마나에도 모든 것이 담겨 있는데(단 이는 부정확함), 노크드는 메시지에 꽤 인색한 친구이므로 각별히 주의가 필요하다.

• 버전
  Fedora/CentOS 저장소에서 오늘의 최신 버전은 0.63입니다. UDP를 원하는 사람 - 0.70 패킷을 찾으세요.
• 인터페이스
  기본 Fedora/CentOS 구성에서는 이 줄 아니. 손으로 추가하세요. 그렇지 않으면 작동하지 않습니다.
• 시간 제한
  여기서는 취향에 따라 선택하시면 됩니다. 클라이언트가 모든 작업을 수행할 충분한 시간을 가져야 합니다. 그러면 포트 스캐너 봇이 작동하지 않게 됩니다(그리고 146%가 스캔합니다).
• 시작/중지/명령.
  명령이 하나 있으면 명령, 두 개가 있으면 start_command+stop_command입니다.
  실수를 하면 knockd는 침묵을 유지하지만 작동하지 않습니다.
• 프로토
  이론적으로는 UDP를 사용할 수 있습니다. 실제로 tcp와 udp를 섞어서 했는데, 발리 해변의 클라이언트는 XNUMX번째에만 게이트를 열 수 있었습니다. TCP는 필요할 때 도착했지만 UDP는 사실이 아니기 때문입니다. 그러나 이것은 다시 맛의 문제입니다.
• 순서
  암시적 레이크는 시퀀스가 ​​교차해서는 안 된다는 것입니다. 어떻게 표현해야 할까요?

예를 들면 다음과 같습니다.

open: 11111,22222,33333
close: 22222,11111,33333

킥으로 11111 열 수 22222에서 다음 킥을 기다립니다. 그러나 이(22222) 킥 이후에는 작동이 시작됩니다. 가까운 그리고 모든 것이 깨질 것입니다. 이는 클라이언트의 지연에 따라 달라집니다. 그런 것들 ©.

iptables에

/etc/sysconfig/iptables에 있는 경우 다음과 같습니다.

*nat
:PREROUTING ACCEPT [0:0]

실제로는 우리를 괴롭히지 않으므로 다음과 같습니다.

*filter
:INPUT ACCEPT [0:0]
...
-A INPUT -j REJECT --reject-with icmp-host-prohibited

그것은 방해합니다.

knockd는 INPUT 체인 끝에 규칙을 추가하므로 거부됩니다.

그리고 이 거부를 끄는 것은 모든 바람에 차를 여는 것을 의미합니다.

iptables에서 길을 잃지 않으려면 무엇 앞에 무엇을 삽입해야 할까요? 사람들 제안) 더 간단하게 만들어 보겠습니다.

• 기본 CentOS/Fedora에서 처음으로 규칙(“금지되지 않은 것은 허용됩니다”)은 그 반대의 규칙으로 대체됩니다.
• 마지막 규칙을 제거합니다.

결과는 다음과 같습니다.

*filter
:INPUT DROP [0:0]
...
#-A INPUT -j REJECT --reject-with icmp-host-prohibited

물론 DROP 대신 REJECT를 수행할 수도 있지만 DROP을 사용하면 봇의 삶이 더 재미있어질 것입니다.

3. 클라이언트

내 관점에서 볼 때 이 장소는 가장 흥미로운 곳입니다. 해변에서뿐만 아니라 모든 장치에서 작업해야 하기 때문입니다.

원칙적으로 다수의 고객이 상장되어 있습니다. 온라인으로 프로젝트이지만 이것은 같은 시리즈의 "모든 것이 인터넷에 있습니다." 그러므로 나는 지금 여기에서 내 손끝에서 작동하는 작업을 나열하겠습니다.

클라이언트를 선택할 때 패킷 간 지연 옵션을 지원하는지 확인해야 합니다. 예, 해변 간에는 차이가 있으며 100메가비트는 패킷이 주어진 위치에서 적시에 올바른 순서로 도착한다는 것을 보장하지 않습니다.

그리고 네, 클라이언트를 설정할 때 지연 시간을 직접 선택해야 합니다. 시간 초과가 너무 많으면 봇이 공격하고 너무 적으면 클라이언트에 시간이 없습니다. 지연이 너무 많으면 클라이언트가 제 시간에 도착하지 못하거나 바보 간의 충돌이 발생합니다("레이크" 참조). 지연이 너무 적으면 패킷이 인터넷에서 손실됩니다.

timeout=5s인 경우 Delay=100..500ms는 완전히 작동하는 옵션입니다.

Windows

아무리 웃기게 들리더라도 Google이 이 플랫폼에 대한 확실한 노크 클라이언트를 제공하는 것은 매우 중요한 일입니다. CLI는 지연, TCP 및 활 없이 지원합니다.

옵션으로 시도해 볼 수 있습니다. 여기있다. 분명히 내 Google은 케이크가 아닙니다.

Linux

여기서는 간단합니다.

dnf install knock -y
knock -d <delay> <dst_ip> 11111 22222 33333

맥 OS

가장 쉬운 방법은 homebrew에서 포트를 설치하는 것입니다.
brew install knock
다음과 같은 명령에 필요한 배치 파일을 그립니다.

#!bin/sh
knock -d <delay> <dst_ip> 11111 22222 33333

iOS

작동 옵션은 KnockOnD(상점에서 무료)입니다.

Android

"항구를 노크하세요" 광고는 아니지만 효과가 있습니다. 그리고 개발자들은 매우 반응이 좋습니다.

물론 Habré의 PS 가격 인하, 언젠가는 신의 축복이 있기를...

Upd1: 덕분에 좋은 사람에게 설립하다 일하는 클라이언트 윈도우에서.
Upd2: 다른 것 좋은 사람 iptables 끝에 새로운 규칙을 추가하는 것이 항상 유용한 것은 아니라는 점을 상기시켜 주었습니다. 하지만 - 상황에 따라 다릅니다.

출처 : habr.com