🌲 🤫 💡 हम सिस्टम की रक्षा करते हैं। या पोर्ट दस्तक को कॉन्फ़िगर और उपयोग कैसे करें 🙈 🍇 ♦️

सलाम-पापलम ऑल!

तब मुझे आश्चर्य हुआ कि आप अपने सर्वर को और अधिक सुरक्षित कैसे बना सकते हैं। IP ब्लॉकिंग के साथ सीधे iptables का उपयोग करने से समस्या का समाधान नहीं हुआ, क्योंकि मैं न केवल कार्यशील पीसी से, बल्कि घर से, या किसी अन्य शहर से, या बस पर (जब मैं ट्रैफ़िक जाम में खड़ा होता हूं) सर्वर से जुड़ सकता हूं।
पोर्ट नॉकिंग का उपयोग करने का निर्णय लिया गया।
जिसने कभी इसका उपयोग नहीं किया है, बिल्ली के नीचे आपका स्वागत है।

जो लोग विषय में नहीं हैं, उनके लिए मैं संक्षेप में कहता हूं: यह एक ऐसा डेमन है जो नेटवर्क इंटरफ़ेस को "सुनता है" और यदि यह "सुना" है कि अनुरोध पोर्ट 7000,8000,9000 में भेजे जा रहे हैं, तो यह आपके आईपी के लिए एक अनुमति नियम को आपके द्वारा पहले से परिभाषित पोर्ट में जोड़ता है। यह केवल iptables तक पहुंच की अनुमति देने या अस्वीकार करने के लिए एक कमांड निष्पादित करता है।

इसलिए, मैं सभी ssh से कवर करना चाहता था।
सबसे पहले, डेमन को स्वयं स्थापित करें (परीक्षणों के लिए, मैंने उबंटू पर अपने कामकाजी पीसी का उपयोग किया):

sudo apt-get install knockd

CentOS के लिए, आप इसे इस तरह स्थापित कर सकते हैं:

 sudo rpm -Uhv http://pkgs.repoforge.org/knock/knock-0.5-3.el6.rf.x86_64.rpm

अगला, हमें इस डेमन (/etc/knockd.conf) के विन्यास को संपादित करने की आवश्यकता है:

 [options] UseSyslog [openSSH] sequence = 7000:tcp,8000:tcp, 9000:udp seq_timeout = 5 command = /sbin/iptables -I INPUT 1 -s %IP% -d _IP____ -p tcp --dport 22 -j ACCEPT tcpflags = syn [closeSSH] sequence = 9000:udp,8000:tcp,7000:tcp seq_timeout = 5 command = /sbin/iptables -D INPUT -s %IP% -d _IP____ -p tcp --dport 22 -j ACCEPT tcpflags = syn

फिर डेमॉन को फिर से शुरू करें:

 sudo /etc/init.d/knockd restart

अगला, पोर्ट 22 पर सभी के लिए इनकार नियम जोड़ें:

 sudo iptables -A INPUT -s 0/0 -d _IP____ -p tcp --dport 22 -j REJECT

[ओपनएसएसएच] अनुभाग में, लाइनों पर ध्यान दें -I INPUT 1 । अगर हम इसके बजाय केवल एक INPUT लिखते हैं, तो इसे नियम श्रृंखला के अंत में जोड़ दिया जाएगा, और इसलिए केवल सबसे ऊपरी नियम आग जाएगा। इसलिए, हम लिखते हैं ताकि निषेध नियम को अंत में जोड़ा जाए।
अनुक्रम इंगित करता है कि हम किस पोर्ट क्रम को एक्सेस करने की अनुमति देंगे। अपने संकेत अवश्य दें।
आप प्रोटोकॉल को भी निर्दिष्ट कर सकते हैं, उदाहरण के लिए: 7000: udp, 8000: udp, 9000: tcp
tcpflags - यहाँ हम संकेत देते हैं कि प्रेषित पैकेट में कौन से हेडर सम्‍मिलित होने चाहिए।

[CloseSSH] अनुभाग में, 22 वें पोर्ट को बंद करने के लिए रिवर्स अनुक्रम निर्दिष्ट करें। और अनुमति दी गई सूची से अपने आईपी को हटाने के लिए एक आदेश है।

अब सवाल उठता है: बंदरगाहों पर यह जादू अनुक्रम कैसे भेजें?
डेवलपर की साइट से आप लोकप्रिय प्लेटफार्मों के लिए कार्यक्रम डाउनलोड कर सकते हैं। अन्य उपयोग उदाहरण वहां देखे जा सकते हैं।
विंडोज में, मैंने इसका इस्तेमाल किया: डाउनलोड किया, अनपैक्ड। एक कमांड प्रॉम्प्ट खोला

 cd ____ knock 192.168.0.1 7000:tcp 8000:tcp 9000:udp

सभी ने बंदरगाह खोल दिया है। अब हम SSH पर जा सकते हैं!

यदि आप इसे किसी अन्य प्रोटोकॉल के लिए उपयोग करना चाहते हैं, तो उसी तरह [ओपनफ़टीपी] , [क्लोज़फ़टीपी] अनुभाग को एक ही नियम के साथ लिखें , केवल पोर्ट को आवश्यक एक में बदल दें और यही वह है।
इस चीज का नुकसान यह है कि आपको कनेक्ट करने से पहले एक अतिरिक्त कार्यक्रम का उपयोग करने की आवश्यकता है। लेकिन, यह मुझे लगता है कि सुरक्षा के लिए आप सहन कर सकते हैं।

सभी सुरक्षा!

हम सिस्टम की रक्षा करते हैं। या पोर्ट दस्तक को कॉन्फ़िगर और उपयोग कैसे करें

More articles: