这是可以使用我们的多个免费在线工作站之一(例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器)在 OnWorks 免费托管服务提供商中运行的命令
程序:
您的姓名
Knockd - 端口敲门服务器
概要
被撞了 [选项]
商品描述
被撞了 是一个 敲门 服务器。 它侦听以太网(或 PPP)上的所有流量
界面,寻找端口命中的特殊“敲门”序列。 客户端使这些端口 -
通过向服务器上的端口发送 TCP(或 UDP)数据包来命中。 这个端口不需要打开
-- 由于knockd 在链路层级别侦听,因此它会看到所有流量,即使它是目的地
对于封闭端口。 当服务器检测到特定的端口命中序列时,它会运行
命令在其配置文件中定义。 这可以用来在一个
用于快速访问的防火墙。
命令行 配置
-一世, - 界面
指定要侦听的接口。 默认是 eth0.
-d, --守护进程
成为守护神。 这通常是正常的类似服务器的操作所需要的。
-C, --配置
为配置文件指定备用位置。 默认是 /etc/knockd.conf.
-D, -调试
输出调试信息。
-l, - 抬头
查找日志条目的 DNS 名称。 这可能存在安全隐患! 见部分 严格安保
附注.
-v, --详细
输出详细的状态消息。
-V, - 版
显示版本。
-H, - 帮帮我
语法帮助。
配置
敲门从配置文件中读取所有敲门/事件集。 每个敲门/事件开始于
标题标记,形式为 [名],其中 姓名 是将出现的事件的名称
在日志中。 一个特殊的标记, [选项], 用于定义全局选项。
例如: #1:
此示例使用两次敲击。 第一个将允许门环访问端口 22
(SSH),当敲门完成时,第二个将关闭端口。 尽你所能
看,如果您运行非常严格的(拒绝策略)防火墙并且
想谨慎地访问它。
[选项]
日志文件 = /var/log/knockd.log
[打开SSH]
序列 = 7000,8000,9000
seq_超时= 10
tcpflags =同步
命令 = /sbin/iptables -A 输入 -s %IP% -j 接受
[关闭SSH]
序列 = 9000,8000,7000
seq_超时= 10
tcpflags =同步
命令 = /sbin/iptables -D 输入 -s %IP% -j 接受
例如: #2:
此示例使用单次敲击来控制对端口 22 (SSH) 的访问。 后
收到成功的敲门声,守护进程将运行 启动命令, 等待
指定时间 命令超时,然后执行 停止命令. 这对
自动关闭门环后面的门。 敲击序列同时使用 UDP
和 TCP 端口。
[选项]
日志文件 = /var/log/knockd.log
[打开关闭SSH]
序列 = 2222:udp,3333:tcp,4444:udp
seq_超时= 15
tcpflags = 同步,确认
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -j ACCEPT
cmd_超时= 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -j 接受
例如: #3:
此示例不使用单个固定的敲击序列来触发事件,而是使用一个
从序列文件(一个时间序列)中获取的一组序列,由
一次性序列 指示。 每次成功敲门后,使用的序列将
无效,序列文件中的下一个序列必须用于
成功敲门。 这可以防止攻击者在之后进行重放攻击
发现了一个序列(例如,在嗅探网络时)。
[选项]
日志文件 = /var/log/knockd.log
[打开关闭SMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_超时= 15
tcpflags = fin,!ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 25 -j ACCEPT
cmd_超时= 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 25 -j 接受
组态: 全球 指令
使用系统日志
通过 syslog() 记录操作消息。 这会将日志条目插入到您的
/var/log/messages 或等效的。
日志文件 = /路径/到/文件
将操作直接记录到文件中,通常是 /var/log/knockd.log。
文件 = /路径/到/文件
在守护进程模式下使用的 Pidfile,默认:/var/run/knockd.pid。
接口 =
要侦听的网络接口。 只需要给出它的名字,而不是路径
设备(例如,“eth0”而不是“/dev/eth0”)。 默认值:eth0。
组态: 敲门声/事件 指令
序列 = [: ][, [: ] ...]
指定特殊敲击中的端口顺序。 如果同一个错误的端口
接收到标志,则丢弃敲击声。 或者,您可以定义协议
在每个端口的基础上使用(默认为 TCP)。
一个时间序列 = /路径/到/one_time_sequences_file
包含要使用的一个时间序列的文件。 而不是使用固定
序列,knockd 将从该文件中读取要使用的序列。 每次之后
成功的敲门尝试将通过写入“#”字符禁用此序列
在包含使用序列的行的第一个位置。 使用序列
然后将被文件中的下一个有效序列替换。
因为第一个字符被替换成'#',所以建议你留下
每行开头有一个空格。 否则,敲击声中的第一个数字
使用后,序列将被“#”覆盖。
一个时间序列文件中的每一行只包含一个序列,并且具有
格式与 序列 指示。 以“#”开头的行
字符将被忽略。
备注: 不要在knockd 运行时编辑文件!
序列超时 =
等待序列以秒为单位完成的时间。 如果时间过去了
敲完,它被丢弃。
TCP标志 = 鳍|syn|rst|psh|ack|urg
只注意设置了这个标志的数据包。 使用 TCP 标志时,
Knockd 将忽略与标志不匹配的 tcp 数据包。 这不同于
正常行为,不正确的数据包会使整个敲门无效,
强迫客户重新开始。 如果您是,使用“TCPFlags = syn”很有用
通过 SSH 连接进行测试,因为 SSH 流量通常会干扰(和
因此无效)敲门声。
用逗号分隔多个标志(例如,TCPFlags = syn,ack,urg)。 标志可以是
用“!”明确排除(例如,TCPFlags = syn,!ack)。
启动命令 =
指定当客户端进行正确的端口敲门时要执行的命令。 全部
的实例 %IP% 将替换为敲门人的 IP 地址。 这 命令
指令是别名 启动命令.
Cmd_超时 =
之间等待的时间 启动命令 和 停止命令 片刻之间。 该指令是
可选,仅当 停止命令 用来。
停止命令 =
指定执行时的命令 Cmd_超时 秒过去了
启动命令 已被处决。 所有实例 %IP% 将被替换为
敲门人的 IP 地址。 该指令是可选的。
严格安保 附注
使用 -l or - 抬头 用于解析日志条目的 DNS 名称的命令行选项可能是
安全风险! 如果攻击者可以监视,他可能会找到序列的第一个端口
运行knockd 的主机的DNS 流量。 还有一个应该是隐身的主机(例如,
将数据包丢弃到关闭的 TCP 端口而不是回复 ACK+RST 数据包)可能会给
如果攻击者设法击中第一个(未知)端口,则通过解析 DNS 名称自行离开
的一个序列。
使用 onworks.net 服务在线敲门
