+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Port Knocking — это метод аутентификации, когда для получения доступа к серверу нужно отправить последовательность запросов к определенным портам в заданном порядке. Представьте себе, как будто вы стучите в дверь в определенной последовательности, чтобы п

Port Knocking — это метод аутентификации, когда для получения доступа к серверу нужно отправить последовательность запросов к определенным портам в заданном порядке. Представьте себе, как будто вы стучите в дверь в определенной последовательности, чтобы п

RSS

fpascual

Guest

04.01.2007 14:53:00

Я настроил port knocking для ssh-логина, но не работает, по крайней мере, если использовать открытый порт через Mikrotik (например, 80). Правила:

;;; Port Knocking SSH - Interface Externa
chain=input
in-interface=externa
src-address=0.0.0.0/0
protocol=tcp
dst-port=80
action=add-src-to-address-list
address-list=ssh_ok
address-list-timeout=1h

;;; Acepto SSH Verificado - Port Knocking Interface Externa
chain=input
in-interface=externa
src-address=0.0.0.0/0
protocol=tcp
dst-port=22
src-address-list=ssh_ok
action=accept

;;; Dropeo Resto SSH
chain=input
src-address=0.0.0.0/0
protocol=tcp
dst-port=22
action=drop

Если я использую другой порт (например, 887), то тоже не работает. Что я делаю не так? Спасибо!

mneumark Guest	#2 0 05.01.2007 05:19:00 Подожди, давай я правильно понял. Когда ты заходишь на свой http://youriptoyourmikrotik:80, ты хочешь, чтобы он добавлял твой IP-адрес в список адресов?

janisk Guest	#3 0 05.01.2007 08:26:00 Я понял, что это работает, но ему нужно, чтобы было 887. Проверь правила брандмауэра, если на нужном тебе порту есть блокировка, но я бы посоветовал использовать порт выше 1024.

fpascual Guest	#4 0 05.01.2007 12:23:00 Да, janisk, 887 — это просто пример. Если я настраиваю порт 5555, ничего не работает. Я подключаюсь по telnet к своему хосту на порт 5555, и не сопоставляется с действием “add-src-to-address-list”. Ты понимаешь? Спасибо.

janisk Guest	#5 0 05.01.2007 12:39:00 Ты уверен, что отправил TCP пакет? Можно просто проверить, добавив правило, которое будет записывать всё, что приходит.

fpascual

Guest

05.01.2007 14:12:00

Я протестировал командой “telnet my_host 7777” из удалённого Windows, и не работает. Вот правила:

1 ;;; Port Knocking SSH - Interface Externa chain=input in-interface=externa src-address=0.0.0.0/0 protocol=tcp dst-port=7777 action=add-src-to-address-list address-list=ssh_ok address-list-timeout=2h
2 ;;; Acepto SSH Verificado - Port Knocking Interface Externa chain=input in-interface=externa src-address=0.0.0.0/0 protocol=tcp dst-port=22 src-address-list=ssh_ok action=accept
3 ;;; Dropeo Resto SSH chain=input src-address=0.0.0.0/0 protocol=tcp dst-port=22 action=drop
Если я добавлю правило (номер 4) с accept any any dst port 7777, всё равно не работает.

maxfava Guest	#7 0 05.01.2007 14:36:00 1 ;;; Port Knocking SSH - Interface Externa chain=input in-interface=externa src-address=0.0.0.0/0 protocol=tcp dst-port=7777 action=add-src-to-address-list address-list=ssh_ok address-list-timeout=2h 2 ;;; Acepto SSH Verificado - Port Knocking Interface Externa chain=input in-interface=externa src-address=0.0.0.0/0 protocol=tcp dst-port=22 src-address-list=ssh_ok action=accept 3 ;;; Dropeo Resto SSH chain=input src-address=0.0.0.0/0 protocol=tcp dst-port=22 action=drop before 1;;; add chain=input in-interface=externa src-address=0.0.0.0/0 protocol=tcp dst-port=7777 action=log prefix=7777 chain=input in-interface=externa src-address=0.0.0.0/0 protocol=tcp action=log after try and see what the log shows.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры