Este é o comando knockd que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
knockd - servidor port-knock
SINOPSE
bateu [opções]
DESCRIÇÃO
bateu é um batida de porta servidor. Ele escuta todo o tráfego em uma Ethernet (ou PPP)
interface, procurando sequências especiais de "knock" de acessos de porta. Um cliente torna essas portas
acessos enviando um pacote TCP (ou UDP) para uma porta no servidor. Esta porta não precisa ser aberta
- como o knockd escuta no nível da camada de link, ele vê todo o tráfego, mesmo que seja destinado
para uma porta fechada. Quando o servidor detecta uma sequência específica de acessos à porta, ele executa um
comando definido em seu arquivo de configuração. Isso pode ser usado para abrir buracos em um
firewall para acesso rápido.
LINHA DE COMANDO OPÇÕES
-eu, --interface
Especifique uma interface para ouvir. O padrão é eth0.
-d, --daemon
Torne-se um daemon. Isso geralmente é desejado para operação normal semelhante a um servidor.
-c, --config
Especifique um local alternativo para o arquivo de configuração. O padrão é /etc/knockd.conf.
-D, --depurar
Saída de mensagens de depuração.
-eu, --olho para cima
Procure nomes DNS para entradas de registro. Isso pode ser um risco de segurança! Veja a seção SEGURANÇA
NOTAS.
-dentro, --verbose
Envie mensagens de status detalhadas.
-V, --versão
Mostra a versão.
-h, --Socorro
Ajuda de sintaxe.
CONFIGURAÇÃO
knockd lê todos os conjuntos de knock / evento de um arquivo de configuração. Cada batida / evento começa com
um marcador de título, no formulário [nome], Onde nome é o nome do evento que irá aparecer
no log. Um marcador especial, [opções], é usado para definir opções globais.
Exemplo # 1:
Este exemplo usa duas batidas. O primeiro permitirá que o batente acesse a porta 22
(SSH), e o segundo fechará a porta quando o knocker for concluído. Como você puder
veja, isso pode ser útil se você executar um firewall muito restritivo (política DENY) e
gostaria de acessá-lo discretamente.
[opções]
arquivo de log = /var/log/knockd.log
[abertoSSH]
sequência = 7000,8000,9000
seq_timeout = 10
tcpflags = sin
comando = / sbin / iptables -A ENTRADA -s% IP% -j ACEITAR
[fechar SSH]
sequência = 9000,8000,7000
seq_timeout = 10
tcpflags = sin
comando = / sbin / iptables -D ENTRADA -s% IP% -j ACEITAR
Exemplo # 2:
Este exemplo usa uma única batida para controlar o acesso à porta 22 (SSH). Depois de
recebendo uma batida bem-sucedida, o daemon irá executar o comando_inicial, espere pelo
tempo especificado em cmd_timeout, em seguida, execute o comando_stop. Isso é útil para
feche automaticamente a porta atrás de uma aldrava. A sequência de batida usa tanto UDP
e portas TCP.
[opções]
arquivo de log = /var/log/knockd.log
[opencloseSSH]
sequência = 2222: udp, 3333: tcp, 4444: udp
seq_timeout = 15
tcpflags = syn, ack
start_command = / usr / sbin / iptables -A INPUT -s% IP% -p tcp --syn -j ACEITAR
cmd_timeout=5
stop_command = / usr / sbin / iptables -D INPUT -s% IP% -p tcp --syn -j ACEITAR
Exemplo # 3:
Este exemplo não usa uma única sequência de batida fixa para acionar um evento, mas um
conjunto de sequências retiradas de um arquivo de sequência (sequências únicas), especificado pelo
sequências_únicas diretiva. Após cada batida bem-sucedida, a sequência usada irá
ser invalidado e a próxima sequência do arquivo de sequência deve ser usada para um
batida bem-sucedida. Isso evita que um invasor faça um ataque de repetição após
tendo descoberto uma sequência (por exemplo, ao farejar a rede).
[opções]
arquivo de log = /var/log/knockd.log
[opencloseSMTP]
one_time_sequences = / etc / knockd / smtp_sequences
seq_timeout = 15
tcpflags = fin,! ack
start_command = / usr / sbin / iptables -A INPUT -s% IP% -p tcp --dport 25 -j ACEITAR
cmd_timeout=5
stop_command = / usr / sbin / iptables -D INPUT -s% IP% -p tcp --dport 25 -j ACEITAR
CONFIGURAÇÃO: CONSIGNAÇÃO DIRETIVAS
usar syslog
Registre mensagens de ação por meio de syslog (). Isso irá inserir entradas de registro em seu
/ var / log / messages ou equivalente.
Arquivo de log = / caminho / para / arquivo
Registre ações diretamente em um arquivo, geralmente /var/log/knockd.log.
PidFileName = / caminho / para / arquivo
Pidfile para usar no modo daemon, padrão: /var/run/knockd.pid.
Interface =
Interface de rede para ouvir. Apenas seu nome deve ser fornecido, não o caminho para o
dispositivo (por exemplo, "eth0" e não "/ dev / eth0"). Padrão: eth0.
CONFIGURAÇÃO: BATIDA / EVENTO DIRETIVAS
Seqüência = [: ] [, [: ] ...]
Especifique a sequência de portas na batida especial. Se uma porta errada com o mesmo
sinalizadores são recebidos, a batida é descartada. Opcionalmente, você pode definir o protocolo
para ser usado por porta (o padrão é TCP).
Sequências únicas = / path / to / one_time_sequences_file
Arquivo contendo as sequências únicas a serem usadas. Em vez de usar um
seqüência, knockd lerá a seqüência a ser usada daquele arquivo. Após cada
tentativa de detonação bem-sucedida, esta sequência será desabilitada escrevendo um caractere '#'
na primeira posição da linha que contém a seqüência usada. Essa sequência usada
será então substituído pela próxima sequência válida do arquivo.
Como o primeiro caractere foi substituído por um '#', é recomendável que você saia
um espaço no início de cada linha. Caso contrário, o primeiro dígito em sua batida
a sequência será substituída por um '#' após ter sido usada.
Cada linha no arquivo de sequências únicas contém exatamente uma sequência e tem o
mesmo formato que aquele para o Seqüência diretiva. Linhas começando com '#'
personagem será ignorado.
Note: Não edite o arquivo enquanto o knockd estiver em execução!
Seq_Timeout =
Tempo de espera para a conclusão de uma sequência em segundos. Se o tempo passar antes do
a batida está completa, é descartada.
Sinalizadores TCP = fin | syn | rst | psh | ack | urg
Preste atenção apenas aos pacotes que possuem este sinalizador definido. Ao usar sinalizadores TCP,
O knockd IGNORÁ os pacotes tcp que não combinam com os sinalizadores. Isso é diferente de
o comportamento normal, onde um pacote incorreto invalidaria toda a batida,
forçando o cliente a recomeçar. Usar "TCPFlags = syn" é útil se você estiver
teste em uma conexão SSH, já que o tráfego SSH geralmente interfere com (e
portanto, invalidar) a batida.
Separe vários sinalizadores com vírgulas (por exemplo, TCPFlags = syn, ack, urg). Bandeiras podem ser
explicitamente excluído por um "!" (por exemplo, TCPFlags = syn,! ack).
Iniciar_Command =
Especifique o comando a ser executado quando um cliente fizer a batida de porta correta. Tudo
instâncias de % IP% será substituído pelo endereço IP do batente. o Command
diretiva é um apelido para Iniciar_Command.
Cmd_Timeout =
Tempo de espera entre Iniciar_Command e Stop_Command em segundos. Esta diretiva é
opcional, apenas necessário se Stop_Command é usado.
Stop_Command =
Especifique o comando a ser executado quando Cmd_Timeout segundos se passaram desde
Iniciar_Command foi executado. Todas as instâncias de % IP% será substituído pelo
endereço IP do batente. Esta diretiva é opcional.
SEGURANÇA NOTAS
Com o -l or --olho para cima opção de linha de comando para resolver nomes DNS para entradas de registro pode ser um
risco de segurança! Um invasor pode descobrir a primeira porta de uma sequência se puder monitorar
o tráfego DNS do host executando o knockd. Além disso, um host deve ser furtivo (por exemplo,
descartar pacotes em portas TCP fechadas em vez de responder com um pacote ACK + RST) pode dar
a si mesmo resolvendo um nome DNS se um invasor conseguir atingir a primeira porta (desconhecida)
de uma sequência.
Use knockd online usando serviços onworks.net
