Jump to content
  • 0
Стоян Иванов

Въпросче за port knocking

Въпрос

Стоян Иванов

Добра вечер на всички! Отдавана само чета тук, затова сега смятам да се запиша 😀. Имам Уидоус сървър зад един микротик, които общо взето е бекъп на пощенски клиенти, активни директории и споделени ресурси. Налага се от време на време да го достъпвам по RDP поради различни причини и досега го държах само с променен порт и спряно правило за NAT, което активирах само когато се налагаше да се логна. Вчера си написах едно правило, което своеобразно трябва се явява нещо като  port knocking. За сега всичко работи така както искам, но тъй като не съм чак толкова наясно ми се иска някой по-разбиращ да го погледне и да ми каже, трябва ли да добавя или премахна нещо, за да мога да разчитам на него. Най-вече ме интересува, трябва  ли да преместя правилото в RAW, като в mangle оставя само правилото за маркиране на конекцията или и така може да работи нормално?

Моля, влезте или се регистрирайте, за да видите този code.

Предварително благодаря на отзовалите се! 😉

Редактирано от Стоян Иванов

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

6 отговори на този въпрос

Recommended Posts

  • 0
JohnTRIVOLTA

Аз да споделя как процедирам. Имам просто няколко правила за адване в различни листи. Имам поредица от "почуквания" за сорс лист за достъп с уинбокс, друга за пренасочване към услуги в локалните сегменти и т.н. В рамките на 3 секунди при правилно почукване на съответната поредица от протоколи и техните портове за нужният достъп се адва адрес към листа за 2 часа пример , която е предифинирана в правило за достъп със сорс лист.

Пример за достъп с WinBox на който порта е сменен с 9999:

Моля, влезте или се регистрирайте, за да видите този code.


За пренасочване правилата са същите , но с предифинирано правило със сорс лист за дистинейшън нат :

Моля, влезте или се регистрирайте, за да видите този code.

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

 

Преди 2 часа, samyil написа:

А какво прави "порт нак" всъщност ?

"порт почукване" е превода

Пингваш дадени портове в съответна поредност и следящо правило включва друго действие.
пр.

отваря порт пренасочва рутинг или каквото ти кеф.

Моля, влезте или се регистрирайте, за да видите този link.

Моля, влезте или се регистрирайте, за да видите този link.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
samyil

Да, аз всъщност знам какво прави и неправилно зададох въпроса малко на шега. По скоро искам да знам колегата как свързва порт нак с ремут десктоп ?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
Стоян Иванов

То е описано горе в правилата но, общо взето е следното. При заявка на TCP порт 1234 ще се добави IP адреса на подателя в адресен списък с име „RDP Port Knock“ за 15 сек. Във второто правило при заявка на TCP порт 4321 ще се провери дали IP адресът на подателя е в списъка „RDP Port Knock“ и ако отговорът е да, то IP адреса ще се добави в списък с име „knock_rdp“ за 15 сек. Третото правило маркира TCP конекцията, записва нов адресен списък "rdp_ok"  с таиминг един час и е готов за връзка към истинския порт. Четвъртото правило приема маркираната връзка и записва адресен лист "safe_rdp" след което правилото за NAT към  RDS  казва, че само адресите в сигурната адресна листа имат право на достъп до NAT към него.

Офф, май не го обясних както трябва... Не ме бива много с обясненията. Процедурата е следната. В прозореца на rds login пиша;

47.10.233.9:1234 (позналия порта адрес е записан за 15сек)

47.10.233.9:4321 (позналия порта адрес е записан за 15сек)

Следва маркиране на конекцията, приемане на връзката и записване в листата "safe_rdp" която добавям в правилото за  NAT -а

47.10.233.9:3389 и готово. :)

Редактирано от Стоян Иванов

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
Mile

knock правим само на стари машини, които не искаме/нямаме време

да мигрираме. Главно Slack 10.x +

Работят и храна не искат. Параноята е хубаво нещо, но все пак.... нямате нищо интерсно за криене :)

 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Гост
Отговори на въпроса...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.