Questo è il comando knockd che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici postazioni di lavoro online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
knockd - server port-knock
SINOSSI
bussò [opzioni]
DESCRIZIONE
bussò è un bussare server. Ascolta tutto il traffico su ethernet (o PPP)
interfaccia, alla ricerca di speciali sequenze "knock" di port-hits. Un client rende questi port-
hit inviando un pacchetto TCP (o UDP) a una porta sul server. Questa porta non deve essere aperta
-- poiché knockd ascolta a livello di livello di collegamento, vede tutto il traffico anche se è destinato
per un porto chiuso. Quando il server rileva una sequenza specifica di accessi alla porta, esegue un
comando definito nel suo file di configurazione. Questo può essere usato per aprire buchi in a
firewall per un rapido accesso.
RIGA DI COMANDO VERSIONI
-io, --interfaccia
Specifica un'interfaccia su cui ascoltare. L'impostazione predefinita è eth0.
-D, --demone
Diventa un demone. Questo di solito è desiderato per il normale funzionamento di tipo server.
-C, --config
Specificare una posizione alternativa per il file di configurazione. L'impostazione predefinita è /etc/knockd.conf.
-D, - debug
Messaggi di debug dell'output.
-l, --cercare
Cerca i nomi DNS per le voci di registro. Questo potrebbe essere un rischio per la sicurezza! Vedi sezione SICUREZZA
NOTE.
-in, --verboso
Emetti messaggi di stato dettagliati.
-V, --versione
Visualizza la versione.
-H, --Aiuto
Guida alla sintassi.
CONFIGURAZIONE
knockd legge tutti i set knock/event da un file di configurazione. Ogni bussare/evento inizia con
un marcatore di titolo, nella forma [nome], Dove Nome è il nome dell'evento che apparirà
nel registro. Un marcatore speciale, [opzioni], viene utilizzato per definire le opzioni globali.
Esempio # 1:
Questo esempio usa due colpi. Il primo consentirà al knocker di accedere alla porta 22
(SSH), e il secondo chiuderà la porta quando il knocker è completo. Come puoi
vedi, questo potrebbe essere utile se esegui un firewall molto restrittivo (criterio DENY) e
vorrei accedervi con discrezione.
[opzioni]
file di registro = /var/log/knockd.log
[apriSSH]
sequenza = 7000,8000,9000
seq_timeout = 10
tcpflags = sin
comando = /sbin/iptables -A INGRESSO -s %IP% -j ACCETTA
[chiudi SSH]
sequenza = 9000,8000,7000
seq_timeout = 10
tcpflags = sin
comando = /sbin/iptables -D INGRESSO -s %IP% -j ACCETTA
Esempio # 2:
Questo esempio utilizza un singolo colpo per controllare l'accesso alla porta 22 (SSH). Dopo
ricevendo un bussare con successo, il demone eseguirà il start_comando, aspetta il file
tempo specificato in cmd_timeout, quindi eseguire stop_comando. Questo è utile per
chiude automaticamente la porta dietro un batacchio. La sequenza di colpi usa entrambi UDP
e porte TCP.
[opzioni]
file di registro = /var/log/knockd.log
[aprichiudiSSH]
sequenza = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = sin,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -j ACCETTA
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -j ACCETTA
Esempio # 3:
Questo esempio non usa una singola sequenza di colpi fissa per attivare un evento, ma a
insieme di sequenze prese da un file di sequenza (sequenze una tantum), specificato dal
sequenze_una_time direttiva. Dopo ogni colpo riuscito, la sequenza utilizzata sarà
essere invalidato e la sequenza successiva del file di sequenza deve essere utilizzata per a
bussare con successo. Ciò impedisce a un attaccante di eseguire un attacco di ripetizione dopo
aver scoperto una sequenza (ad esempio, durante l'analisi della rete).
[opzioni]
file di registro = /var/log/knockd.log
[aprichiudiSMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = fin,!ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 25 -j ACCETTA
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 25 -j ACCETTA
CONFIGURAZIONE: GLOBAL DIRETTIVE
Usa Syslog
Registra i messaggi di azione tramite syslog(). Questo inserirà le voci di registro nel tuo
/var/log/messages o equivalente.
File di registro = /percorso/di/file
Registra le azioni direttamente in un file, solitamente /var/log/knockd.log.
File Pid = /percorso/di/file
Pidfile da usare in modalità demone, predefinito: /var/run/knockd.pid.
Interfaccia =
Interfaccia di rete su cui ascoltare. Deve essere dato solo il suo nome, non il percorso per il
dispositivo (ad esempio, "eth0" e non "/dev/eth0"). Predefinito: eth0.
CONFIGURAZIONE: BUSSARE/EVENTO DIRETTIVE
Sequenza = [: ][, [: ] ...]
Specificare la sequenza delle porte nella busta speciale. Se una porta sbagliata con lo stesso
flag viene ricevuto, il colpo viene scartato. Facoltativamente, è possibile definire il protocollo
da utilizzare in base alla porta (l'impostazione predefinita è TCP).
Sequenze One_Time = /percorso/a/file_sequenze_una_time
File contenente le sequenze una tantum da utilizzare. Invece di usare un fisso
sequenza, knockd leggerà la sequenza da usare da quel file. Dopo ogni
tentativo di bussare riuscito questa sequenza verrà disabilitata scrivendo un carattere '#'
nella prima posizione della riga contenente la sequenza utilizzata. Quella sequenza usata
verrà quindi sostituito dalla successiva sequenza valida dal file.
Poiché il primo carattere è sostituito da un '#', si consiglia di uscire
uno spazio all'inizio di ogni riga. Altrimenti la prima cifra nel tuo bussare
sequenza verrà sovrascritta con un '#' dopo che è stata utilizzata.
Ogni riga nel file delle sequenze singole contiene esattamente una sequenza e ha il
stesso formato di quello per il Sequenza direttiva. Righe che iniziano con un '#'
carattere verrà ignorato.
Note:: Non modificare il file mentre knockd è in esecuzione!
Seq_Timeout =
Tempo di attesa per il completamento di una sequenza in secondi. Se il tempo trascorre prima del
bussare è completo, viene scartato.
Flag TCP = fin|syn|rst|psh|ack|urg
Prestare attenzione solo ai pacchetti che hanno questo flag impostato. Quando si utilizzano i flag TCP,
knockd IGNORERÀ i pacchetti tcp che non corrispondono ai flag. Questo è diverso da
il comportamento normale, dove un pacchetto errato invaliderebbe l'intero bussare,
costringendo il cliente a ricominciare. L'uso di "TCPFlags = syn" è utile se lo sei
test su una connessione SSH, poiché il traffico SSH di solito interferisce con (e
invalidare così) il colpo.
Separare più flag con virgole (ad es. TCPFlags = syn,ack,urg). Le bandiere possono essere
esplicitamente escluso da un "!" (ad es. TCPFlags = syn,!ack).
Start_Comando =
Specificare il comando da eseguire quando un client effettua il port-knock corretto. Tutto
istanze di %IP% verrà sostituito con l'indirizzo IP del battitore. Il Comando
direttiva è un alias per Start_Comando.
Cmd_Timeout =
È tempo di aspettare tra Start_Comando ed Stop_Comando in secondi. Questa direttiva è
opzionale, richiesto solo se Stop_Comando viene utilizzato.
Stop_Comando =
Specificare il comando da eseguire quando Cmd_Timeout sono passati secondi da allora
Start_Comando è stato eseguito. Tutte le istanze di %IP% sarà sostituito con il
indirizzo IP del battitore. Questa direttiva è facoltativa.
SICUREZZA NOTE
Usando il -l or --cercare l'opzione della riga di comando per risolvere i nomi DNS per le voci di registro potrebbe essere a
rischio per la sicurezza! Un utente malintenzionato può scoprire la prima porta di una sequenza se può monitorare
il traffico DNS dell'host in esecuzione knockd. Anche un host dovrebbe essere invisibile (ad es.
rilasciare pacchetti su porte TCP chiuse invece di rispondere con un pacchetto ACK+RST) può dare
risolvendo un nome DNS se un utente malintenzionato riesce a raggiungere la prima porta (sconosciuta)
di una sequenza.
Utilizzare knockd online utilizzando i servizi onworks.net
