, som jeg kan se, at der er mange artikler om knockd og dets gennemførelse.så, hvad er mine bestræbelser for at gøre denne enestående?jeg lavede den enkle, men i detaljer   og har kommenteret kontroverser og kritik, der findes. her er en oversigt over, hvad jeg har sagt, hvad er havn, at banke på?,,, hvad der er knockd?,,, og– hvordan det virker?,,,         – anlæg,,,         – det, vi forsøger at opnå,         – forudsætning for gennemførelsen af knockd:,,,         – gennemførelse scenario,,,         – testning,,,         – bemærkninger om kontroverser og kritik, forbehold, så vi her.,, hvad er havn, at banke på?,,, wikipedia definition:,,, havn, banker, er en metode til eksternt åbning af havne på en firewall, ved at skabe en forbindelse forsøg på en række faste lukkede havne (i dette tilfælde telnet).når en korrekt sekvens af forbindelse forsøg er modtaget, firewallreglerne dynamisk ændret til at tillade værten, som sendte den forbindelse forsøg på at forbinde over specifikke havn (er) /* i denne artikel synspunkt, og’ s ssh havn 22 * /er det faktisk enhver anmodning ville slå døren (firewall) for at få det igennem.banker er nødvendigt at få igennem porten.du skal enten gennemføres ved hjælp af knockd og iptables eller bare iptables alene. at vide, hvordan til at gennemføre havn banker med iptables, henviser den tidligere artikel "havn": større sikkerhed ved hjælp af knockd og /eller iptables fra grundlæggende ", ved hjælp af knockd.,,, hvad der er knockd?,,, knockd – definition af zeroflux. org:,,, knockd, er en havn på serveren.den lytter til al trafik på et ethernet - grænseflade, som leder efter særlige "banke på" sekvenser af havn rammer.en klient, gør disse havn rammer ved at sende en tcp (eller udp) pakke til en havn på serveren.denne havn ikke skal åbne - da knockd lytter på forbindelsen lag - niveau, det ser alt trafik, selv hvis det er bestemt til et lukket havn.når server opfanger en specifik sekvens af havn rammer, det er en ordre er defineret i dens sammensætning fil.dette kan bruges til at åbne huller i en firewall 'en for hurtig adgang.,, hvordan det virker?,, 1.knockd dæmon monteret /løbende på serveren., 2.få nogle havn sekvenser (tcp, udp - eller begge), og passende foranstaltninger for hver sekvens. 3.når knockd ser en bestemt havn sekvens, vil det være den konfigureret indsats for, at sekvens, note:,, det er helt usynligt, og den vil ikke åbne havne på serveren,   ved misligholdelse. når en havn på succes anvendes til at åbne en port, firewallreglerne generelt kun mulighed for at ip_address oplysninger korrekt bank.,, installation, note:, ikke kopiere /pasta kommandoer.- det manuelt, for at undgå fejl, der kan opstå på grund af det format,&#yum installere libpcap. * /* afhængighed og– * i den sidste ende har libpcap udvikling, hvilket er en forudsætning, at såvel * /er, der er forskellige måder at installere, mens jeg har fulgt rpm, downloade anlæg. passende rpm pakke fra http: //pkgs. repoforge. org /bank /, så løb,&#rpm – ivh knock-0.5-3. el6. ". x86_64. omdrejninger pr. minut, /* her, har jeg downloadede banke 0.5-3 til 64 - bit centos og dermed rpm navn * /,,, hvad alle har installeret?,, knockd – banke - banke banke dæmon, – kunde, som støtte til banker, opmærksom på, at denne (bank) er misligholdelse klient kommer med knockd, mens der er andre avancerede kunder, som hping, sendip & packit.,, hvad vi forsøger at opnå:,, en måde at stoppe angreb og tillade ssh adgang overalt, når der er behov for, er en forudsætning for gennemførelsen af knockd:,, som tidligere nævnt, en eksisterende firewall (iptables) er en forudsætning, følger nedenfor skridt at konfigurere firewall,&#iptables - input - p tcp - m - stat i forbindelse med etableret - j - jeg accepterer, og— – at indsætte den regel, første linje i firewall 'en fælde, - p — – protokol - m — – kamp mod usa i forbindelse med etablereed, i dette tilfælde - j — – forhastede aktion, som er accpet her.,, /* denne regel siger, at igangværende samling gennem firewallen.det er vigtigt, så hvis du har currrently taget langt møde på denne computer ved hjælp af ssh, det skal bevares og ikke blive afsluttet med yderligere regler, hvor du måske ønsker at blokere ssh, eller tjenesteydelser * /,,&#iptables - input - p icmp - j acceptere, /* det skal få din maskine - ping i stand fra maskinen, så du kan tjekke tilstedeværelsen af din maskine (hvad enten det er op og ned) * /,,&#iptables – et input – j afviser, /* afviser alt andet – tilføjer det som sidste linje, for hvis indsættes som første linje alle andre regler, vil ikke blive betragtet som og hver anmodning ville blive afvist * /,,, gennemførelse scenario:,, prøv at stille til maskinen, hvor man har gennemført en firewall.lad os ringe til maskinen, så server. du kan ikke stille til serveren da firewall 'en fælde i server afviser alt, bortset fra igangværende samling og ping anmodninger. nu, knockd gennemførelse: nu i server, - - at du har installeret knockd, løb følgende kommandoer,&#vi /etc /knockd. conf. /* som følge af rpm installation, denne konfiguration filen eksisterer * /,, redigere fil som nedenfor og redde /exit.,,, [muligheder. logfile = /var /log /knockd.log [openclosessh] sekvens         = 2222: spdu, 3333: tcp, 4444: udp - seq_timeout      = 15 start_command    = /sbin /iptables - input - s% up% - p tcp - dport 22 - j acceptere cmd_timeout      = 10 stop_command     = /sbin /iptables - d input - s% up% - p tcp - dport 22 - j acceptere tcpflags         = syn, første linje af filen definerer, hvor fejlen /advarsler vedrørende knockd bliver registreret.i sag, hvis de ikke er i stand til at få succes med at lancere forbindelse mellem klient og server med knockd /bank, så er det her, du skal tjekke – server log.,, sekvens         = 2222: spdu, 3333: tcp, 4444: spdu,                                , /* sekvens af banker * /,,, seq_timeout      = 15,                                                                         , /*, når ovennævnte sekvens er slået, det er kun gyldig for næste 15 sekunder * /,,, start_command    = /sbin /iptables - input - s% up% - p tcp – dport 22 - j acceptere, /*, når rigtige sekvens er slået, ovennævnte kommando bliver henrettet, hvor% up% er ip_addr vært -jeg banker på.derfor er det muligt at være forbindelse fra makrel (klient) til server.det bemærkes, at være forbindelse skal være etableret i næste 15 sekunder af bank.også bemærke, at jeg har givet iptables – jeg, da jeg ønsker, at denne regel skal indsættes som første linje, fordi hvis jeg vedhæfter, vil det ikke have nogen effekt, da iptables afvise alt regel kommer før det i listen * /,,, cmd_timeout      = 10,                       , /* stop_command vil blive execued i 10 sekunder fra start_command henrettelse.* /,,, stop_command     = /sbin /iptables - d input - s% up% - p tcp – dport 22 - j acceptere, /. jeg er bortfald af regel, som jeg indsat for at tillade ssh - forbindelse fra makrel (klient) til server.er det ikke ender min ssh forbindelse?– ikke,.,,,,, hvordan? , er de eksisterende regler i mit iptables,&#iptables - input - p tcp - m tilstand – stat i forbindelse med etablerede - j acceptere hjælper mig med at bevare den etablerede forbindelse.i sag, hvis denne regel ikke er specificeret, ur - ssh forbindelse vil gå tabt i 10 sekunder (dvs.) cmd_timeout * /,,, tcpflags                   = syn,                        /* i tcp 3 måde håndtryk, kunde sender et tcp synkronisere pakke til server * /, konstatere, at der er andre måder at få din knockd - server.for eksempel, en havn sekvens åbne ssh, og en anden havn rækkefølge at lukke din ssh (i modsætning til den ovenfor nævnte et), men i dette tilfælde, efter afslutning af din ssh samling, du skal manuelt ramte havn sekvens fra kunde, for at lukke ssh - havn for det. nu, at vi har konfigureret vores server, således at stille for kunde, hvis kunden rammer den rigtige rækkefølge, der er 2222: spdu, 3333: tcp, 4444: spdu, her, nu, du er nødt til at begynde knockd tjeneste.en kopi af det nedenfor manus, /etc /rc.d/init.d/knockd, i din maskine. runlevel manuskript. #!/bin /sh&#beskrivelse: start og stop knockd&#kontrollere, om det ud fil findes [- f /etc /knockd.conf]