SSH/RDP/മറ്റുള്ളവ വഴി ലോകത്തെവിടെ നിന്നും അവരുടെ സെർവറുകളിലേക്കുള്ള ആക്‌സസ്, അവരുടെ പ്രിയപ്പെട്ടവർക്ക്, ഒരു ചെറിയ RTFM/spur.

കൈയിലുള്ള ഏത് ഉപകരണത്തിൽ നിന്നും VPN കൂടാതെ മറ്റ് ബെല്ലുകളും വിസിലുകളും ഇല്ലാതെ ഞങ്ങൾ ചെയ്യേണ്ടതുണ്ട്.

അതിനാൽ നിങ്ങൾ സെർവറുമായി വളരെയധികം വ്യായാമം ചെയ്യേണ്ടതില്ല.

ഇതിനായി നിങ്ങൾക്ക് വേണ്ടത് തട്ടി, നേരായ കൈകളും 5 മിനിറ്റ് ജോലിയും.

“എല്ലാം ഇന്റർനെറ്റിലാണ്,” തീർച്ചയായും (ഓൺ പോലും ഹബ്രെ), എന്നാൽ ഒരു നിർദ്ദിഷ്‌ട നടപ്പാക്കലിന്റെ കാര്യം വരുമ്പോൾ, ഇവിടെയാണ് അത് ആരംഭിക്കുന്നത്...

ഉദാഹരണമായി Fedora/CentOS ഉപയോഗിച്ച് ഞങ്ങൾ പരിശീലിക്കും, പക്ഷേ അത് പ്രശ്നമല്ല.

ഈ വിഷയത്തിൽ തുടക്കക്കാർക്കും വിദഗ്ധർക്കും സ്പർ അനുയോജ്യമാണ്, അതിനാൽ അഭിപ്രായങ്ങൾ ഉണ്ടാകും, പക്ഷേ അവ ചെറുതായിരിക്കും.

1. സെർവർ

• knock-server ഇൻസ്റ്റാൾ ചെയ്യുക:
  yum/dnf install knock-server

• ഇത് കോൺഫിഗർ ചെയ്യുക (ഉദാഹരണത്തിന് ssh-ൽ) - /etc/knockd.conf:

  [options]
      UseSyslog
      interface = enp1s0f0
  [SSHopen]
      sequence        = 33333,22222,11111
      seq_timeout     = 5
      tcpflags        = syn
      start_command   = iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
      cmd_timeout     = 3600
      stop_command    = iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  [SSHclose]
      sequence        = 11111,22222,33333
      seq_timeout     = 5
      tcpflags        = syn
      command         = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

  "ഓപ്പണിംഗ്" ഭാഗം 1 മണിക്കൂറിന് ശേഷം യാന്ത്രികമായി അടയ്ക്കുന്നതിന് സജ്ജമാക്കി. നിനക്ക് ഒരിക്കലും അറിയില്ല...

• /etc/sysconfig/iptables:

  ...
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 11111 -j ACCEPT
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 22222 -j ACCEPT
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 33333 -j ACCEPT
  ...

• മുന്നോട്ട്:

  service iptables restart
  service knockd start

• ഉള്ളിൽ കറങ്ങുന്ന വെർച്വൽ വിൻഡോസ് സെർവറിലേക്ക് നിങ്ങൾക്ക് RDP ചേർക്കാൻ കഴിയും (/etc/knockd.conf; നിങ്ങളുടെ അഭിരുചിക്കനുസരിച്ച് ഇന്റർഫേസ് പേര് മാറ്റിസ്ഥാപിക്കുക):

  [RDPopen]
      sequence        = 44444,33333,22222
      seq_timeout     = 5
      tcpflags        = syn
      start_command   = iptables -t nat -A PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
      cmd_timeout     = 3600
      stop_command    = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
  [RDPclose]
      sequence        = 22222,33333,44444
      seq_timeout     = 5
      tcpflags        = syn
      command         = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

  കമാൻഡ് ഉപയോഗിച്ച് സെർവറിലെ ക്ലയന്റിൽ നിന്ന് ഞങ്ങളുടെ എല്ലാ കിക്കുകളും ഞങ്ങൾ ട്രാക്കുചെയ്യുന്നു iptables -S.

2. റേക്കുകളിലേക്കുള്ള വഴികാട്ടി

knockd.conf:

മനയിൽ എല്ലാം അടങ്ങിയിരിക്കുന്നു (എന്നാൽ ഇത് കൃത്യമല്ല), പക്ഷേ സന്ദേശങ്ങളിൽ പിശുക്ക് കാണിക്കുന്ന ഒരു സുഹൃത്താണ് നോക്ക്, അതിനാൽ നിങ്ങൾ വളരെ ശ്രദ്ധിക്കേണ്ടതുണ്ട്.

• പതിപ്പ്
  Fedora/CentOS ശേഖരണങ്ങളിൽ, ഇന്നത്തെ ഏറ്റവും പുതിയ knockd 0.63 ആണ്. ആർക്കാണ് UDP വേണ്ടത് - 0.70 പാക്കറ്റുകൾ നോക്കുക.
• ഇന്റർഫേസ്
  സ്ഥിരസ്ഥിതി Fedora/CentOS കോൺഫിഗറേഷനിൽ ഈ വരി ഹാജരല്ല. നിങ്ങളുടെ കൈകൊണ്ട് ചേർക്കുക, അല്ലെങ്കിൽ അത് പ്രവർത്തിക്കില്ല.
• ടൈം ഔട്ട്
  ഇവിടെ നിങ്ങളുടെ അഭിരുചിക്കനുസരിച്ച് തിരഞ്ഞെടുക്കാം. ക്ലയന്റിന് എല്ലാ കിക്കുകൾക്കും മതിയായ സമയം ഉണ്ടായിരിക്കേണ്ടത് ആവശ്യമാണ് - കൂടാതെ പോർട്ട് സ്കാനർ ബോട്ട് തകരും (146% സ്കാൻ ചെയ്യും).
• ആരംഭിക്കുക/നിർത്തുക/കമാൻഡ് ചെയ്യുക.
  ഒരു കമാൻഡ് ഉണ്ടെങ്കിൽ, കമാൻഡ്, രണ്ടെണ്ണം ഉണ്ടെങ്കിൽ, start_command+stop_command.
  നിങ്ങൾ ഒരു തെറ്റ് ചെയ്താൽ, knockd നിശബ്ദത പാലിക്കും, പക്ഷേ പ്രവർത്തിക്കില്ല.
• പ്രോട്ടോ
  സൈദ്ധാന്തികമായി, UDP ഉപയോഗിക്കാം. പ്രായോഗികമായി, ഞാൻ ടിസിപിയും യുഡിപിയും കലർത്തി, ബാലിയിലെ ബീച്ചിൽ നിന്നുള്ള ക്ലയന്റിന് അഞ്ചാം തവണ മാത്രമാണ് ഗേറ്റ് തുറക്കാൻ കഴിഞ്ഞത്. കാരണം ആവശ്യമുള്ളപ്പോൾ TCP എത്തി, എന്നാൽ UDP ഒരു വസ്തുതയല്ല. എന്നാൽ ഇത് വീണ്ടും രുചിയുടെ കാര്യമാണ്.
• ക്രമം
  സീക്വൻസുകൾ കൂട്ടിമുട്ടാൻ പാടില്ല എന്നതാണ് പരോക്ഷമായ റേക്ക് ... അത് എങ്ങനെ സ്ഥാപിക്കും ...

ഉദാഹരണത്തിന്, ഇത്:

open: 11111,22222,33333
close: 22222,11111,33333

11111 കിക്കിലൂടെ തുറക്കുക 22222-ൽ അടുത്ത കിക്കിനായി കാത്തിരിക്കും. എന്നിരുന്നാലും, ഈ (22222) കിക്ക് കഴിഞ്ഞാൽ അത് പ്രവർത്തിക്കാൻ തുടങ്ങും. അടയ്ക്കുക എല്ലാം തകരുകയും ചെയ്യും. ഇത് ഉപഭോക്താവിന്റെ കാലതാമസത്തെയും ആശ്രയിച്ചിരിക്കുന്നു. അത്തരം കാര്യങ്ങൾ ©.

iptables

/etc/sysconfig/iptables-ൽ ആണെങ്കിൽ ഇത്:

*nat
:PREROUTING ACCEPT [0:0]

ഇത് ഞങ്ങളെ ശരിക്കും ശല്യപ്പെടുത്തുന്നില്ല, അതിനാൽ ഇതാ:

*filter
:INPUT ACCEPT [0:0]
...
-A INPUT -j REJECT --reject-with icmp-host-prohibited

അത് ഇടപെടുന്നു.

INPUT ശൃംഖലയുടെ അവസാനം knockd നിയമങ്ങൾ ചേർക്കുന്നതിനാൽ, നമുക്ക് നിരസിക്കപ്പെടും.

ഈ നിരസിക്കുന്നത് ഓഫ് ചെയ്യുക എന്നതിനർത്ഥം കാർ എല്ലാ കാറ്റിലേക്കും തുറക്കുക എന്നാണ്.

iptables-ൽ നഷ്‌ടപ്പെടാതിരിക്കാൻ, എന്തിന് മുമ്പ് എന്ത് തിരുകണം (ഇതുപോലെ ആളുകൾ നിർദ്ദേശിക്കുക) നമുക്ക് ഇത് ലളിതമാക്കാം:

• സ്ഥിരസ്ഥിതി CentOS/Fedora-ൽ ആദ്യത്തേത് നിയമം ("നിരോധിക്കാത്തത് അനുവദനീയമാണ്") വിപരീതമായി മാറ്റിസ്ഥാപിക്കും,
• ഞങ്ങൾ അവസാന നിയമം നീക്കം ചെയ്യുന്നു.

ഫലം ഇതായിരിക്കണം:

*filter
:INPUT DROP [0:0]
...
#-A INPUT -j REJECT --reject-with icmp-host-prohibited

നിങ്ങൾക്ക് തീർച്ചയായും ഡ്രോപ്പിന് പകരം നിരസിക്കാം, എന്നാൽ ഡ്രോപ്പ് ഉപയോഗിച്ച് ജീവിതം ബോട്ടുകൾക്ക് കൂടുതൽ രസകരമായിരിക്കും.

3. ക്ലയന്റ്

ഈ സ്ഥലം ഏറ്റവും രസകരമാണ് (എന്റെ കാഴ്ചപ്പാടിൽ നിന്ന്), നിങ്ങൾ ഏതെങ്കിലും ബീച്ചിൽ നിന്ന് മാത്രമല്ല, ഏത് ഉപകരണത്തിൽ നിന്നും പ്രവർത്തിക്കേണ്ടതുണ്ട്.

തത്വത്തിൽ, നിരവധി ക്ലയന്റുകൾ പട്ടികപ്പെടുത്തിയിട്ടുണ്ട് സൈറ്റ് പ്രൊജക്റ്റ്, എന്നാൽ ഇത് "എല്ലാം ഇൻറർനെറ്റിലാണ്" എന്ന അതേ പരമ്പരയിൽ നിന്നുള്ളതാണ്. അതിനാൽ, ഇവിടെയും ഇപ്പോളും എന്റെ വിരൽത്തുമ്പിൽ പ്രവർത്തിക്കുന്നത് ഞാൻ പട്ടികപ്പെടുത്തും.

ഒരു ക്ലയന്റ് തിരഞ്ഞെടുക്കുമ്പോൾ, അത് പാക്കറ്റുകൾക്കിടയിലുള്ള കാലതാമസം ഓപ്ഷനെ പിന്തുണയ്ക്കുന്നുവെന്ന് ഉറപ്പാക്കേണ്ടതുണ്ട്. അതെ, ബീച്ചുകളും 100 മെഗാബൈറ്റും തമ്മിൽ വ്യത്യാസങ്ങളുണ്ട്, ഒരു നിശ്ചിത സ്ഥലത്ത് നിന്ന് ശരിയായ സമയത്ത് ശരിയായ ക്രമത്തിൽ പാക്കറ്റുകൾ എത്തുമെന്ന് ഒരിക്കലും ഉറപ്പുനൽകുന്നില്ല.

അതെ, ഒരു ക്ലയന്റ് സജ്ജീകരിക്കുമ്പോൾ, കാലതാമസം നിങ്ങൾ സ്വയം തിരഞ്ഞെടുക്കേണ്ടതുണ്ട്. വളരെയധികം സമയപരിധി - ബോട്ടുകൾ ആക്രമിക്കും, വളരെ കുറച്ച് - ക്ലയന്റിന് സമയമില്ല. വളരെയധികം കാലതാമസം - ക്ലയന്റ് കൃത്യസമയത്ത് അത് ചെയ്യില്ല അല്ലെങ്കിൽ വിഡ്ഢികളുടെ ഒരു സംഘട്ടനം ഉണ്ടാകും ("റേക്കുകൾ" കാണുക), വളരെ കുറച്ച് - പാക്കറ്റുകൾ ഇന്റർനെറ്റിൽ നഷ്ടപ്പെടും.

കാലഹരണപ്പെടൽ=5സെക്കൻറ്, കാലതാമസം=100..500ms എന്നത് പൂർണ്ണമായും പ്രവർത്തനക്ഷമമായ ഓപ്ഷനാണ്

വിൻഡോസ്

ഇത് എത്ര തമാശയായി തോന്നിയാലും, ഈ പ്ലാറ്റ്‌ഫോമിനുള്ള വ്യക്തമായ നോക്ക് ക്ലയന്റായ Google-ന് ഇത് നിസ്സാരമല്ല. CLI കാലതാമസം, TCP - കൂടാതെ വില്ലുകളില്ലാതെ പിന്തുണയ്ക്കുന്ന തരത്തിൽ.

പകരമായി, നിങ്ങൾക്ക് ശ്രമിക്കാം ഇതാണത്. പ്രത്യക്ഷത്തിൽ എന്റെ ഗൂഗിൾ ഒരു കേക്ക് അല്ല.

ലിനക്സ്

ഇവിടെ എല്ലാം ലളിതമാണ്:

dnf install knock -y
knock -d <delay> <dst_ip> 11111 22222 33333

MacOS

ഹോംബ്രൂവിൽ നിന്ന് പോർട്ട് ഇൻസ്റ്റാൾ ചെയ്യുക എന്നതാണ് ഏറ്റവും എളുപ്പമുള്ള മാർഗം:
brew install knock
ഇതുപോലുള്ള കമാൻഡുകൾക്ക് ആവശ്യമായ ബാച്ച് ഫയലുകൾ വരയ്ക്കുക:

#!bin/sh
knock -d <delay> <dst_ip> 11111 22222 33333

ഐഒഎസ്

ഒരു പ്രവർത്തന ഓപ്ഷൻ KnockOnD ആണ് (സൌജന്യമായി, സ്റ്റോറിൽ നിന്ന്).

ആൻഡ്രോയിഡ്

"തുറമുഖങ്ങളിൽ മുട്ടുക" പരസ്യമല്ല, പക്ഷേ അത് പ്രവർത്തിക്കുന്നു. ഡെവലപ്പർമാർ തികച്ചും പ്രതികരിക്കുന്നവരാണ്.

ഹബ്രെയെക്കുറിച്ചുള്ള PS മാർക്ക്ഡൗൺ, തീർച്ചയായും, ദൈവം അവനെ എന്നെങ്കിലും അനുഗ്രഹിക്കട്ടെ...

UPD1: നന്ദി ഒരു നല്ല വ്യക്തിക്ക് കണ്ടെത്തി ജോലി ചെയ്യുന്ന ക്ലയന്റ് വിൻഡോസിന് കീഴിൽ.
UPD2: മറ്റൊന്ന് നല്ല മനുഷ്യൻ iptables-ന്റെ അവസാനം പുതിയ നിയമങ്ങൾ ഇടുന്നത് എല്ലായ്പ്പോഴും ഉപയോഗപ്രദമല്ലെന്ന് എന്നെ ഓർമ്മിപ്പിച്ചു. പക്ഷേ - അത് ആശ്രയിച്ചിരിക്കുന്നു.

അവലംബം: www.habr.com