Ini adalah perintah knockd yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
knockd - server port-knock
RINGKASAN
ketukan [pilihan]
DESKRIPSI
ketukan adalah ketukan pelabuhan server. Itu mendengarkan semua lalu lintas di ethernet (atau PPP)
antarmuka, mencari urutan "ketukan" khusus dari hit-port. Seorang klien membuat port-
hit dengan mengirimkan paket TCP (atau UDP) ke port di server. Port ini tidak perlu dibuka
-- karena knockd mendengarkan pada level link-layer, ia melihat semua lalu lintas bahkan jika itu ditakdirkan
untuk pelabuhan tertutup. Ketika server mendeteksi urutan tertentu dari port-hit, itu berjalan sebagai
perintah yang didefinisikan dalam file konfigurasinya. Ini dapat digunakan untuk membuka lubang di a
firewall untuk akses cepat.
GARIS KOMANDO PILIHAN
-Saya, --antarmuka
Tentukan antarmuka untuk mendengarkan. Standarnya adalah eth0.
-D, --daemon
Menjadi dasmon. Ini biasanya diinginkan untuk operasi seperti server normal.
-C, --konfigurasi
Tentukan lokasi alternatif untuk file konfigurasi. Standarnya adalah /etc/knockd.conf.
-D, --debug
Pesan debugging keluar.
-aku, --menengadah
Cari nama DNS untuk entri log. Ini mungkin risiko keamanan! Lihat bagian KEAMANAN
CATATAN.
-di, --bertele-tele
Keluarkan pesan status verbose.
-V, --Versi: kapan
Tampilkan versi.
-H, --membantu
Bantuan sintaks.
KONFIGURASI
knockd membaca semua knock/event set dari file konfigurasi. Setiap ketukan/acara dimulai dengan
penanda judul, dalam bentuk [nama], Di mana nama adalah nama acara yang akan muncul
dalam log. penanda khusus, [pilihan], digunakan untuk mendefinisikan opsi global.
Contoh # 1:
Contoh ini menggunakan dua ketukan. Yang pertama akan memungkinkan pengetuk untuk mengakses port 22
(SSH), dan yang kedua akan menutup port saat pengetuk selesai. Sebisa kamu
lihat, ini bisa berguna jika Anda menjalankan firewall (kebijakan DENY) yang sangat ketat dan
ingin mengaksesnya secara diam-diam.
[pilihan]
file log = /var/log/knockd.log
[openSSH]
urutan = 7000,8000,9000
seq_timeout = 10
tcpflags = syn
perintah = /sbin/iptables -A INPUT -s %IP% -j TERIMA
[tutupSSH]
urutan = 9000,8000,7000
seq_timeout = 10
tcpflags = syn
perintah = /sbin/iptables -D INPUT -s %IP% -j TERIMA
Contoh # 2:
Contoh ini menggunakan satu ketukan untuk mengontrol akses ke port 22 (SSH). Setelah
menerima ketukan yang berhasil, daemon akan menjalankan mulai_perintah, tunggu untuk
waktu yang ditentukan dalam cmd_timeout, lalu jalankan stop_command. Ini berguna untuk
secara otomatis menutup pintu di belakang pengetuk. Urutan ketukan menggunakan kedua UDP
dan port TCP.
[pilihan]
file log = /var/log/knockd.log
[buka tutupSSH]
urutan = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = sin,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -j TERIMA
cmd_batas waktu = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -j TERIMA
Contoh # 3:
Contoh ini tidak menggunakan satu urutan ketukan tetap untuk memicu suatu peristiwa, tetapi a
kumpulan urutan yang diambil dari file urutan (satu urutan waktu), ditentukan oleh
urutan_satu kali pengarahan. Setelah setiap ketukan yang berhasil, urutan yang digunakan akan
dibatalkan dan urutan berikutnya dari file urutan harus digunakan untuk a
ketukan yang berhasil. Ini mencegah penyerang melakukan serangan replay setelah
setelah menemukan urutan (misalnya, saat mengendus jaringan).
[pilihan]
file log = /var/log/knockd.log
[buka tutup SMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = sirip,!ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 25 -j TERIMA
cmd_batas waktu = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 25 -j TERIMA
KONFIGURASI: GLOBAL PETUNJUK
UseSyslog
Catat pesan tindakan melalui syslog(). Ini akan memasukkan entri log ke dalam . Anda
/var/log/messages atau yang setara.
File Log = /path/ke/file
Log tindakan langsung ke file, biasanya /var/log/knockd.log.
File Pid = /path/ke/file
Pidfile untuk digunakan saat dalam mode daemon, default: /var/run/knockd.pid.
Antarmuka =
Antarmuka jaringan untuk mendengarkan. Hanya namanya yang harus diberikan, bukan jalan menuju
perangkat (misalnya, "eth0" dan bukan "/dev/eth0"). Standar: eth0.
KONFIGURASI: KNOCK/ACARA PETUNJUK
Urutan = [: ][, [: ] ...]
Tentukan urutan port di ketukan khusus. Jika salah port dengan yang sama
bendera diterima, ketukan dibuang. Secara opsional, Anda dapat menentukan protokol
untuk digunakan pada basis per-port (default adalah TCP).
Satu_Waktu_Urutan = /path/ke/one_time_sequences_file
File yang berisi urutan satu kali yang akan digunakan. Alih-alih menggunakan tetap
sequence, knockd akan membaca sequence yang akan digunakan dari file tersebut. Setelah masing-masing
upaya ketukan yang berhasil, urutan ini akan dinonaktifkan dengan menulis karakter '#'
pada posisi pertama dari baris yang berisi urutan yang digunakan. Itu menggunakan urutan
kemudian akan digantikan oleh urutan valid berikutnya dari file.
Karena karakter pertama diganti dengan '#', disarankan untuk keluar
spasi di awal setiap baris. Kalau tidak, digit pertama di ketukan Anda
urutan akan ditimpa dengan '#' setelah digunakan.
Setiap baris dalam satu file urutan waktu berisi tepat satu urutan dan memiliki:
format yang sama dengan format untuk Urutan pengarahan. Baris yang dimulai dengan '#'
karakter akan diabaikan.
Note: Jangan mengedit file saat knockd sedang berjalan!
Seq_Waktu habis =
Waktunya menunggu urutan selesai dalam hitungan detik. Jika waktu berlalu sebelum
ketukan selesai, itu dibuang.
TCPFlag = sirip|syn|pertama|psh|ack|urg
Hanya perhatikan paket yang memiliki flag ini. Saat menggunakan flag TCP,
knockd akan MENGABAIKAN paket tcp yang tidak cocok dengan flag. Ini berbeda dari
perilaku normal, di mana paket yang salah akan membatalkan seluruh ketukan,
memaksa klien untuk memulai kembali. Menggunakan "TCPFlags = syn" berguna jika Anda
pengujian melalui koneksi SSH, karena lalu lintas SSH biasanya akan mengganggu (dan
sehingga membatalkan) ketukan.
Pisahkan beberapa flag dengan koma (misalnya, TCPFlags = syn,ack,urg). Bendera bisa
secara eksplisit dikecualikan oleh "!" (misalnya, TCPFlags = syn,!ack).
Mulai_Perintah =
Tentukan perintah yang akan dieksekusi ketika klien melakukan port-knock yang benar. Semua
contoh %AKU P% akan diganti dengan alamat IP pengetuk. NS perintah
direktif adalah alias untuk Mulai_Perintah.
Cmd_Waktu habis =
Waktu untuk menunggu antara Mulai_Perintah dan Berhenti_Perintah dalam hitungan detik. Arahan ini adalah
opsional, hanya diperlukan jika Berhenti_Perintah digunakan.
Berhenti_Perintah =
Tentukan perintah yang akan dieksekusi ketika Cmd_Waktu habis detik telah berlalu sejak
Mulai_Perintah telah dieksekusi. Semua contoh dari %AKU P% akan diganti dengan
alamat IP pengetuk. Arahan ini opsional.
KEAMANAN CATATAN
Menggunakan -l or --menengadah opsi baris perintah untuk menyelesaikan nama DNS untuk entri log mungkin sebagai
risiko keamanan! Seorang penyerang dapat mengetahui port pertama dari suatu urutan jika dia dapat memantau
lalu lintas DNS dari host yang menjalankan knockd. Juga tuan rumah yang seharusnya sembunyi-sembunyi (misalnya,
menjatuhkan paket ke port TCP tertutup alih-alih membalas dengan paket ACK+RST) dapat memberikan
sendiri dengan menyelesaikan nama DNS jika penyerang berhasil menekan port pertama (tidak diketahui)
dari sebuah urutan.
Gunakan knockd online menggunakan layanan onworks.net
