SSH/RDP/other വഴി ലോകത്തെവിടെ നിന്നും അവരുടെ സെർവറുകളിലേക്ക് ആക്‌സസ് നൽകേണ്ടവർക്ക് - ഒരു ചെറിയ RTFM/ചീറ്റ്.

കൈയിലുള്ള ഏത് ഉപകരണത്തിൽ നിന്നും VPN-ഉം മറ്റ് മണികളും വിസിലുകളും ഇല്ലാതെ തന്നെ നമുക്ക് മുന്നോട്ട് പോകേണ്ടതുണ്ട്.

സെർവറുമായി അധികം വ്യായാമം ചെയ്യേണ്ടതില്ല.

ഇതിന് നിങ്ങൾക്ക് വേണ്ടത് ഇത്രമാത്രം തട്ടി, നേരായ കൈകൾ, 5 മിനിറ്റ് ജോലി.

"എല്ലാം ഇന്റർനെറ്റിലാണ്," തീർച്ചയായും (പോലും ഹബ്രെ), എന്നാൽ നിർദ്ദിഷ്ട നടപ്പാക്കലിന്റെ കാര്യത്തിൽ, എല്ലാം ആരംഭിക്കുന്നത് അവിടെ നിന്നാണ്...

ഫെഡോറയെ ഒരു ഉദാഹരണമായി ഉപയോഗിച്ച് പരിശീലിക്കാം.CentOS, പക്ഷേ അത് പ്രശ്നമല്ല.

ഈ ചീറ്റ് ഷീറ്റ് തുടക്കക്കാർക്കും പരിചയസമ്പന്നരായ വിദഗ്ധർക്കും അനുയോജ്യമാണ്, അതിനാൽ ചില അഭിപ്രായങ്ങൾ ഉണ്ടാകും, പക്ഷേ അവ ഹ്രസ്വമായിരിക്കും.

1. സെർവർ

• നമ്മൾ ഒരു നോക്ക്-സെർവർ ഇൻസ്റ്റാൾ ചെയ്യുന്നു:
  yum/dnf install knock-server

• നമ്മൾ അത് കോൺഫിഗർ ചെയ്യുന്നു (ഉദാഹരണത്തിന്, ssh-ന്) — /etc/knockd.conf:

  [options]
      UseSyslog
      interface = enp1s0f0
  [SSHopen]
      sequence        = 33333,22222,11111
      seq_timeout     = 5
      tcpflags        = syn
      start_command   = iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
      cmd_timeout     = 3600
      stop_command    = iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  [SSHclose]
      sequence        = 11111,22222,33333
      seq_timeout     = 5
      tcpflags        = syn
      command         = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

  "തുറക്കുന്ന" ഭാഗം 1 മണിക്കൂറിനുശേഷം യാന്ത്രികമായി അടയാൻ സജ്ജമാക്കിയിരിക്കുന്നു. നിങ്ങൾക്കറിയില്ല...

• /etc/sysconfig/iptables:

  ...
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 11111 -j ACCEPT
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 22222 -j ACCEPT
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 33333 -j ACCEPT
  ...

• മുന്നോട്ട്:

  service iptables restart
  service knockd start

• ഉള്ളിൽ പ്രവർത്തിക്കുന്ന വെർച്വൽ മെഷീനിലേക്ക് നിങ്ങൾക്ക് RDP ചേർക്കാൻ കഴിയും. Windows Server (/etc/knockd.conf; ഇന്റർഫേസ് നാമം ഇഷ്ടാനുസരണം മാറ്റിസ്ഥാപിക്കുക):

  [RDPopen]
      sequence        = 44444,33333,22222
      seq_timeout     = 5
      tcpflags        = syn
      start_command   = iptables -t nat -A PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
      cmd_timeout     = 3600
      stop_command    = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
  [RDPclose]
      sequence        = 22222,33333,44444
      seq_timeout     = 5
      tcpflags        = syn
      command         = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

  കമാൻഡ് ഉപയോഗിച്ച് സെർവറിലെ ക്ലയന്റിൽ നിന്നുള്ള ഞങ്ങളുടെ എല്ലാ കിക്കുകളും ഞങ്ങൾ ട്രാക്ക് ചെയ്യുന്നു. iptables -S.

2. റേക്ക് വഴികാട്ടി

knockd.conf:

മാംഗയിലും എല്ലാം ഉണ്ട് (പക്ഷേ അത് കൃത്യമല്ല), പക്ഷേ നോക്ക്ഡ് സന്ദേശങ്ങൾ നൽകുന്ന ഒരു പിശുക്കൻ ആണ്, അതിനാൽ നിങ്ങൾ വളരെ ശ്രദ്ധിക്കേണ്ടതുണ്ട്.

• പതിപ്പ്
  ഫെഡോറ റിപ്പോസിറ്ററികളിൽ/CentOS ഇന്നത്തെ ഏറ്റവും പുതിയ നോക്ക്ഡൗൺ 0.63 ആണ്. UDP വേണ്ടവർ 0.70 പാക്കറ്റുകൾ നോക്കണം.
• ഇന്റർഫേസ്
  ഫെഡോറയുടെ ഡിഫോൾട്ട് കോൺഫിഗറേഷനിൽ/CentOS ഈ വരി ഹാജരല്ലകൈകൊണ്ട് ചേർക്കുക, അല്ലെങ്കിൽ അത് പ്രവർത്തിക്കില്ല.
• ടൈം ഔട്ട്
  അത് വ്യക്തിപരമായ ഇഷ്ടപ്രകാരമുള്ള കാര്യമാണ്. ആവശ്യമായ എല്ലാ ഘട്ടങ്ങളും പൂർത്തിയാക്കാൻ ക്ലയന്റിന് മതിയായ സമയം ആവശ്യമാണ്, കൂടാതെ പോർട്ട് സ്കാനർ ബോട്ട് പരാജയപ്പെടുകയും ചെയ്യും (അവരിൽ 146% പേരും സ്കാൻ ചെയ്യും).
• ആരംഭിക്കുക/നിർത്തുക/കമാൻഡ് ചെയ്യുക.
  ഒരു കമാൻഡ് ഉണ്ടെങ്കിൽ കമാൻഡ് ചെയ്യുക; രണ്ടെണ്ണം ഉണ്ടെങ്കിൽ start_command+stop_command ചെയ്യുക.
  നിങ്ങൾ ഒരു തെറ്റ് ചെയ്താൽ, knockd നിശബ്ദത പാലിക്കും, പക്ഷേ പ്രവർത്തിക്കില്ല.
• പ്രോട്ടോ
  സൈദ്ധാന്തികമായി, നിങ്ങൾക്ക് UDP ഉപയോഗിക്കാം. പ്രായോഗികമായി, ഞാൻ TCP-യും UDP-യും സംയോജിപ്പിച്ചു, ബാലിയിലെ ഒരു ബീച്ചിലെ ഒരു ക്ലയന്റിന് അഞ്ചാമത്തെ ശ്രമത്തിൽ മാത്രമേ ഗേറ്റ് തുറക്കാൻ കഴിഞ്ഞുള്ളൂ. കാരണം TCP കൃത്യസമയത്ത് ഡെലിവറി ചെയ്തു, അതേസമയം UDP ഉറപ്പില്ല. പക്ഷേ, അത് അഭിരുചിയുടെ കാര്യമാണ്.
• ക്രമം
  ഒളിഞ്ഞിരിക്കുന്ന ഒരു കാര്യം, സീക്വൻസുകൾ പരസ്പരം വിഭജിക്കരുത് എന്നതാണ്... എങ്ങനെ പറയാം...

ഉദാഹരണത്തിന്, ഇത്:

open: 11111,22222,33333
close: 22222,11111,33333

കിക്ക് 11111 വഴി തുറക്കുക 22222 ലെ അടുത്ത കിക്ക് വരെ കാത്തിരിക്കും. എന്നിരുന്നാലും, ഈ (22222) കിക്കിൽ അത് പ്രവർത്തിക്കാൻ തുടങ്ങും. അടയ്ക്കുക എല്ലാം തകരും. അത് ക്ലയന്റിന്റെ കാലതാമസത്തെയും മറ്റ് കാര്യങ്ങളെയും ആശ്രയിച്ചിരിക്കുന്നു. അങ്ങനെയാണ് കാര്യങ്ങൾ ©.

iptables

/etc/sysconfig/iptables-ൽ ഇത് ഉണ്ടെങ്കിൽ:

*nat
:PREROUTING ACCEPT [0:0]

അത് ഞങ്ങളെ അത്ര ബുദ്ധിമുട്ടിക്കുന്നില്ല, അതുകൊണ്ട് ഇതാണ്:

*filter
:INPUT ACCEPT [0:0]
...
-A INPUT -j REJECT --reject-with icmp-host-prohibited

അത് ഇടപെടുന്നു.

INPUT ശൃംഖലയുടെ അവസാനം knockd നിയമങ്ങൾ ചേർക്കുന്നതിനാൽ, നമുക്ക് reject ലഭിക്കുന്നു.

ഈ റിജെക്റ്റ് ഓഫ് ചെയ്യുക എന്നതിനർത്ഥം കാറിന്റെ എല്ലാ കാറ്റും കയറാൻ തുറന്നുകൊടുക്കുക എന്നാണ്.

iptables ഉപയോഗിച്ച് കുഴപ്പമുണ്ടാക്കാതിരിക്കാൻ, എന്ത് എവിടെ വയ്ക്കണം, എന്തിന് മുമ്പ് (ഇതുപോലെ ആളുകൾ (അവർ നിർദ്ദേശിക്കുന്നു) നമുക്ക് ഇത് ലളിതമാക്കാം:

• സ്ഥിരസ്ഥിതി в CentOS/ഫെഡോറ ആദ്യത്തേത് ("നിരോധിക്കാത്തത് അനുവദനീയമാണ്") എന്ന നിയമം വിപരീതമായി മാറ്റിസ്ഥാപിക്കും,
• അവസാന നിയമം നമ്മൾ നീക്കം ചെയ്യുന്നു.

ഫലം ഇതായിരിക്കണം:

*filter
:INPUT DROP [0:0]
...
#-A INPUT -j REJECT --reject-with icmp-host-prohibited

തീർച്ചയായും, നിങ്ങൾക്ക് DROP-ന് പകരം REJECT ഉപയോഗിക്കാം, പക്ഷേ DROP ബോട്ടുകൾക്ക് ജീവിതം കൂടുതൽ രസകരമാക്കും.

3. ക്ലയന്റ്

ഇവിടെയാണ് കാര്യങ്ങൾ ഏറ്റവും രസകരമാകുന്നത് (എന്റെ കാഴ്ചപ്പാടിൽ), കാരണം നിങ്ങൾ ഏത് ബീച്ചിൽ നിന്നും മാത്രമല്ല, ഏത് ഉപകരണത്തിൽ നിന്നും ജോലി ചെയ്യേണ്ടിവരും.

തത്വത്തിൽ, നിരവധി ക്ലയന്റുകൾ ഇതിൽ പട്ടികപ്പെടുത്തിയിട്ടുണ്ട് സൈറ്റ് പ്രോജക്റ്റ്, പക്ഷേ അത് "എല്ലാം ഇന്റർനെറ്റിൽ ഉണ്ട്" എന്നതുപോലെയാണ്. അപ്പോൾ എനിക്ക് ഇപ്പോൾ എന്താണ് പ്രവർത്തിക്കുന്നതെന്ന് ഞാൻ പട്ടികപ്പെടുത്താം.

ഒരു ക്ലയന്റ് തിരഞ്ഞെടുക്കുമ്പോൾ, പാക്കറ്റുകൾക്കിടയിലുള്ള കാലതാമസ ഓപ്ഷനെ അത് പിന്തുണയ്ക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കുക. അതെ, ഓരോ ബീച്ചും വ്യത്യസ്തമാണ്, കൂടാതെ 100 മെഗാബൈറ്റുകൾ ഒരു നിശ്ചിത സ്ഥലത്ത് നിന്ന് ശരിയായ സമയത്ത് പാക്കറ്റുകൾ ശരിയായ ക്രമത്തിൽ എത്തുമെന്ന് ഉറപ്പുനൽകുന്നില്ല.

അതെ, ഒരു ക്ലയന്റ് സജ്ജീകരിക്കുമ്പോൾ, നിങ്ങൾ തന്നെ കാലതാമസം തിരഞ്ഞെടുക്കേണ്ടതുണ്ട്. വളരെയധികം സമയപരിധി കഴിഞ്ഞാൽ ബോട്ടുകൾ ആക്രമിക്കും; വളരെ കുറച്ച് സമയത്തേക്ക് ക്ലയന്റ് കൃത്യസമയത്ത് എത്തില്ല. വളരെയധികം കാലതാമസം ഉണ്ടായാൽ ക്ലയന്റ് കൃത്യസമയത്ത് എത്തില്ല അല്ലെങ്കിൽ ഒരു ചാറ്റ് സംഘർഷം ഉണ്ടാകും ("റാക്ക്" കാണുക); വളരെ കുറച്ച് സമയത്തേക്ക് പാക്കറ്റുകൾ ഇന്റർനെറ്റിൽ നഷ്ടപ്പെടും.

ടൈംഔട്ട്=5സെക്കൻഡ് ആണെങ്കിൽ, പൂർണ്ണമായും പ്രവർത്തിക്കുന്ന ഒരു ഓപ്ഷൻ delay=100..500ms ആണ്.

Windows

എത്ര അസംബന്ധമായി തോന്നിയാലും, ഈ പ്ലാറ്റ്‌ഫോമിനായി ഒരു മാന്യമായ നോക്ക് ക്ലയന്റിനെ ഗൂഗിളിൽ കണ്ടെത്തുക എന്നത് വളരെ വെല്ലുവിളി നിറഞ്ഞതാണ്. CLI, ലേറ്റൻസി പിന്തുണ, TCP പിന്തുണ, യാതൊരു മുൻവിധികളും ഇല്ലാത്ത ഒന്ന്.

ഒരു ഓപ്ഷനായി, നിങ്ങൾക്ക് ശ്രമിക്കാം ഇതാണ് അത്എന്റെ ഗൂഗിൾ അത്ര എളുപ്പമുള്ള ഒന്നല്ല എന്ന് തോന്നുന്നു.

Linux

ഇവിടെ എല്ലാം ലളിതമാണ്:

dnf install knock -y
knock -d <delay> <dst_ip> 11111 22222 33333

MacOS

ഹോംബ്രൂവിൽ നിന്ന് പോർട്ട് ഇൻസ്റ്റാൾ ചെയ്യുക എന്നതാണ് ഏറ്റവും എളുപ്പമുള്ള മാർഗം:
brew install knock
കൂടാതെ ആവശ്യമായ കമാൻഡ് ലൈൻ ബാച്ച് ഫയലുകൾ ഇതുപോലെ സ്വയം വരയ്ക്കുക:

#!bin/sh
knock -d <delay> <dst_ip> 11111 22222 33333

ഐഒഎസ്

ഒരു പ്രവർത്തന ഓപ്ഷൻ KnockOnD ആണ് (സൗജന്യമായി, സ്റ്റോറിൽ നിന്ന്).

Android

"തുറമുഖങ്ങളിൽ നോക്കൂ." ഇതൊരു പരസ്യമല്ല, പ്രവർത്തിക്കുന്നു എന്നുമാത്രം. ഡെവലപ്പർമാർ വളരെ പ്രതികരിക്കുന്നവരാണ്.

പി.എസ്. ഹബറിനെക്കുറിച്ചുള്ള മാർക്ക്ഡൗൺ, തീർച്ചയായും, ദൈവം എന്നെങ്കിലും അതിന് ആരോഗ്യം നൽകട്ടെ...

UPD1: നന്ദി ഒരു നല്ല വ്യക്തിക്ക് കണ്ടെത്തി ജോലി ചെയ്യുന്ന ക്ലയന്റ് കീഴെ Windows.
UPD2: ഒന്ന് കൂടി നല്ല വ്യക്തി iptables-ന്റെ അവസാനം പുതിയ നിയമങ്ങൾ ചേർക്കുന്നത് എല്ലായ്പ്പോഴും സഹായകരമല്ലെന്ന് ഞാൻ അദ്ദേഹത്തെ ഓർമ്മിപ്പിച്ചു. പക്ഷേ—അത് ആശ്രയിച്ചിരിക്കുന്നു.

അവലംബം: www.habr.com