Aceasta este comanda knockd care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
knockd - server port-knock
REZUMAT
knockd [Opțiuni]
DESCRIERE
knockd este port-cioc Server. Ascultă tot traficul de pe un ethernet (sau PPP)
interfață, căutând secvențe speciale de „ciocănire” de porturi. Un client face aceste port-
hit-uri prin trimiterea unui pachet TCP (sau UDP) la un port de pe server. Acest port nu trebuie să fie deschis
-- deoarece knockd ascultă la nivelul stratului de legătură, vede tot traficul chiar dacă este destinat
pentru un port închis. Când serverul detectează o anumită secvență de accesări de porturi, rulează a
comanda definită în fișierul său de configurare. Acesta poate fi folosit pentru a deschide găurile într-un
firewall pentru acces rapid.
LINIE DE COMANDA OPŢIUNI
-eu, --interfață
Specificați o interfață pe care să ascultați. Valoarea implicită este eth0.
-d, --daemon
Deveniți un demon. Acest lucru este de obicei dorit pentru o funcționare normală de tip server.
-c, --config
Specificați o locație alternativă pentru fișierul de configurare. Implicit este /etc/knockd.conf.
-D, --depanare
Trimite mesaje de depanare.
-l, --privește în sus
Căutați nume DNS pentru intrările de jurnal. Acesta poate fi un risc de securitate! Vezi secțiunea SECURITATE
NOTE.
-v, --verbos
Trimite mesaje de stare detaliate.
-V, --versiune
Afișează versiunea.
-h, --Ajutor
Ajutor pentru sintaxă.
CONFIGURARE
knockd citește toate seturile de knock/evenimente dintr-un fișier de configurare. Fiecare ciocănire/eveniment începe cu
un marcator de titlu, sub formă [Nume], În cazul în care nume este numele evenimentului care va apărea
în jurnal. Un marker special, [Opțiuni], este folosit pentru a defini opțiunile globale.
Exemplu # 1:
Acest exemplu folosește două bătăi. Primul va permite ciocănitorului să acceseze portul 22
(SSH), iar al doilea va închide portul când ciocănitorul este complet. Cum poți
vezi, acest lucru ar putea fi util dacă rulezi un firewall foarte restrictiv (politică DENY) și
ar dori să-l acceseze discret.
[Opțiuni]
jurnal = /var/log/knockd.log
[openSSH]
secvență = 7000,8000,9000
seq_timeout = 10
tcpflags = syn
comanda = /sbin/iptables -A INTRARE -s %IP% -j ACCEPT
[closeSSH]
secvență = 9000,8000,7000
seq_timeout = 10
tcpflags = syn
comanda = /sbin/iptables -D INTRARE -s %IP% -j ACCEPT
Exemplu # 2:
Acest exemplu folosește o singură bătaie pentru a controla accesul la portul 22 (SSH). După
primind o lovitură cu succes, demonul va rula pornire_comandă, așteaptă pentru
timpul specificat în cmd_timeout, apoi executați comandă_oprire. Acest lucru este util pentru
închide automat ușa în spatele unei ciocănitoare. Secvența de detonare folosește atât UDP
și porturi TCP.
[Opțiuni]
jurnal = /var/log/knockd.log
[opencloseSSH]
secvență = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INTRARE -s %IP% -p tcp --syn -j ACCEPT
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INTRARE -s %IP% -p tcp --syn -j ACCEPT
Exemplu # 3:
Acest exemplu nu folosește o singură secvență fixă de detonare pentru a declanșa un eveniment, ci a
set de secvențe luate dintr-un fișier de secvență (secvențe de o singură dată), specificate de
secvențe_unice directivă. După fiecare lovitură reușită, secvența folosită va
fi invalidat și următoarea secvență din fișierul de secvență trebuie utilizată pentru a
ciocănire reușită. Acest lucru împiedică un atacator să facă un atac de reluare după
a descoperit o secvență (de exemplu, în timp ce adulmecă rețeaua).
[Opțiuni]
jurnal = /var/log/knockd.log
[opencloseSMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = fin,!ack
start_command = /usr/sbin/iptables -A INTRARE -s %IP% -p tcp --dport 25 -j ACCEPT
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INTRARE -s %IP% -p tcp --dport 25 -j ACCEPT
CONFIGURARE: GLOBAL DIRECTIVE
Utilizați Syslog
Înregistrați mesajele de acțiune prin syslog(). Aceasta va insera intrări de jurnal în dvs
/var/log/messages sau echivalent.
Fișier jurnal = /cale/la/fișier
Înregistrați acțiunile direct într-un fișier, de obicei /var/log/knockd.log.
PidFile = /cale/la/fișier
Fișierul Pid de utilizat în modul demon, implicit: /var/run/knockd.pid.
interfaţă =
Interfață de rețea pentru a asculta. Trebuie dat doar numele lui, nu calea către
dispozitiv (de exemplu, „eth0” și nu „/dev/eth0”). Implicit: eth0.
CONFIGURARE: BAT/EVENIMENT DIRECTIVE
Secvenţă = [: ][, [: ] ...]
Specificați secvența de porturi în detonarea specială. Dacă un port greșit cu același
steagurile sunt primite, lovitura este aruncată. Opțional, puteți defini protocolul
pentru a fi utilizat pe bază de port (implicit este TCP).
Secvențe_unice = /path/to/one_time_sequences_file
Fișier care conține secvențele unice care vor fi utilizate. În loc să folosiți un fix
secvență, knockd va citi secvența care va fi folosită din acel fișier. După fiecare
încercare reușită de lovire această secvență va fi dezactivată prin scrierea unui caracter „#”.
la prima poziţie a liniei care conţine secvenţa utilizată. Secvența folosită
va fi apoi înlocuită cu următoarea secvență validă din fișier.
Deoarece primul caracter este înlocuit cu un „#”, este recomandat să plecați
un spațiu la începutul fiecărei linii. În caz contrar, prima cifră din bătaia ta
secvența va fi suprascrisă cu un „#” după ce a fost utilizată.
Fiecare linie din fișierul cu secvențe unice conține exact o secvență și are
același format ca cel pentru Secvenţă directivă. Linii care încep cu un „#”
caracterul va fi ignorat.
notițe: Nu editați fișierul în timp ce knockd rulează!
Seq_Timeout =
Este timpul să așteptați ca o secvență să se finalizeze în secunde. Dacă timpul trece înainte de
ciocănirea este completă, este aruncată.
TCPFlags = fin|syn|rst|psh|ack|urg
Acordați atenție doar pachetelor care au acest steag setat. Când utilizați steaguri TCP,
knockd va IGNORA pachetele tcp care nu se potrivesc cu steagurile. Acest lucru este diferit de
comportamentul normal, în care un pachet incorect ar invalida întregul detonare,
obligând clientul să o ia de la capăt. Utilizarea „TCPFlags = syn” este utilă dacă sunteți
testarea printr-o conexiune SSH, deoarece traficul SSH va interfera de obicei cu (și
astfel invalidează) ciocănirea.
Separați mai multe steaguri cu virgule (de exemplu, TCPFlags = syn,ack,urg). Steaguri pot fi
exclus în mod explicit de un „!” (de exemplu, TCPFlags = syn,!ack).
Start_Command =
Specificați comanda care urmează să fie executată atunci când un client face portul corect. Toate
cazuri de %IP% va fi înlocuită cu adresa IP a ciocănitorului. The Comandă
directiva este un alias pentru Start_Command.
Cmd_Timeout =
E timpul să aștepți între Start_Command și Comandă_Oprire în secunde. Această directivă este
optional, necesar doar daca Comandă_Oprire este folosit.
Comandă_Oprire =
Specificați comanda care va fi executată când Cmd_Timeout au trecut secunde de atunci
Start_Command a fost executat. Toate cazurile de %IP% va fi înlocuit cu
adresa IP a bateriei. Această directivă este opțională.
SECURITATE NOTE
Utilizarea -l or --privește în sus opțiunea din linia de comandă pentru a rezolva numele DNS pentru intrările de jurnal poate fi a
risc de securitate! Un atacator poate afla primul port al unei secvențe dacă poate monitoriza
traficul DNS al gazdei care rulează knockd. De asemenea, o gazdă presupusă a fi furișă (de exemplu,
aruncarea pachetelor în porturile TCP închise în loc să răspundă cu un pachet ACK+RST) poate da
se îndepărtează prin rezolvarea unui nume DNS dacă un atacator reușește să lovească primul port (necunoscut).
a unei secvenţe.
Utilizați knockd online folosind serviciile onworks.net
