Jump to content
  • 0
Стоян Иванов

Въпросче за port knocking

Question

Стоян Иванов

Добра вечер на всички! Отдавана само чета тук, затова сега смятам да се запиша ?. Имам Уидоус сървър зад един микротик, които общо взето е бекъп на пощенски клиенти, активни директории и споделени ресурси. Налага се от време на време да го достъпвам по RDP поради различни причини и досега го държах само с променен порт и спряно правило за NAT, което активирах само когато се налагаше да се логна. Вчера си написах едно правило, което своеобразно трябва се явява нещо като  port knocking. За сега всичко работи така както искам, но тъй като не съм чак толкова наясно ми се иска някой по-разбиращ да го погледне и да ми каже, трябва ли да добавя или премахна нещо, за да мога да разчитам на него. Най-вече ме интересува, трябва  ли да преместя правилото в RAW, като в mangle оставя само правилото за маркиране на конекцията или и така може да работи нормално?

/ip firewall mangle
add action=add-src-to-address-list address-list=knock_rdp address-list-timeout=15s chain=input \
    comment="RDP Port Knock" dst-port=1234 protocol=tcp
add action=add-src-to-address-list address-list=rdp_ok address-list-timeout=15s chain=input \
    dst-port=4321 protocol=tcp src-address-list=knock_rdp
add action=mark-connection chain=input dst-port=4321 new-connection-mark=rdp passthrough=yes \
    protocol=tcp src-address-list=rdc_ok
add action=add-src-to-address-list address-list=safe_rdp address-list-timeout=1h chain=input \
    connection-mark=rdp dst-port=4321 protocol=tcp src-address-list=rdp_ok
add action=accept chain=input dst-port=4321 protocol=tcp src-address-list=safe_rdp

/ip firewall nat
add action=dst-nat chain=dstnat comment="RDP " dst-address=xxx.xxx.xxx.xxx dst-port=xxxx protocol=tcp \
    src-address-list=safe_rdp to-addresses=192.168.x.x to-ports=xxxx

Предварително благодаря на отзовалите се! ?

Edited by Стоян Иванов

Share this post


Link to post
Share on other sites

6 answers to this question

Recommended Posts

  • 0
JohnTRIVOLTA

Аз да споделя как процедирам. Имам просто няколко правила за адване в различни листи. Имам поредица от "почуквания" за сорс лист за достъп с уинбокс, друга за пренасочване към услуги в локалните сегменти и т.н. В рамките на 3 секунди при правилно почукване на съответната поредица от протоколи и техните портове за нужният достъп се адва адрес към листа за 2 часа пример , която е предифинирана в правило за достъп със сорс лист.

Пример за достъп с WinBox на който порта е сменен с 9999:


За пренасочване правилата са същите , но с предифинирано правило със сорс лист за дистинейшън нат :

Please login or register to see this content.

 

Share this post


Link to post
Share on other sites
  • 0
samyil

А какво прави "порт нак" всъщност ?

Share this post


Link to post
Share on other sites
  • 0
111111

 

Преди 2 часа, samyil написа:

А какво прави "порт нак" всъщност ?

"порт почукване" е превода

Пингваш дадени портове в съответна поредност и следящо правило включва друго действие.
пр.

отваря порт пренасочва рутинг или каквото ти кеф.

Please login or register to see this content.

Share this post


Link to post
Share on other sites
  • 0
samyil

Да, аз всъщност знам какво прави и неправилно зададох въпроса малко на шега. По скоро искам да знам колегата как свързва порт нак с ремут десктоп ?

Share this post


Link to post
Share on other sites
  • 0
Стоян Иванов

То е описано горе в правилата но, общо взето е следното. При заявка на TCP порт 1234 ще се добави IP адреса на подателя в адресен списък с име „RDP Port Knock“ за 15 сек. Във второто правило при заявка на TCP порт 4321 ще се провери дали IP адресът на подателя е в списъка „RDP Port Knock“ и ако отговорът е да, то IP адреса ще се добави в списък с име „knock_rdp“ за 15 сек. Третото правило маркира TCP конекцията, записва нов адресен списък "rdp_ok"  с таиминг един час и е готов за връзка към истинския порт. Четвъртото правило приема маркираната връзка и записва адресен лист "safe_rdp" след което правилото за NAT към  RDS  казва, че само адресите в сигурната адресна листа имат право на достъп до NAT към него.

Офф, май не го обясних както трябва... Не ме бива много с обясненията. Процедурата е следната. В прозореца на rds login пиша;

47.10.233.9:1234 (позналия порта адрес е записан за 15сек)

47.10.233.9:4321 (позналия порта адрес е записан за 15сек)

Следва маркиране на конекцията, приемане на връзката и записване в листата "safe_rdp" която добавям в правилото за  NAT -а

47.10.233.9:3389 и готово. :)

Edited by Стоян Иванов
  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
Mile

knock правим само на стари машини, които не искаме/нямаме време

да мигрираме. Главно Slack 10.x +

Работят и храна не искат. Параноята е хубаво нещо, но все пак.... нямате нищо интерсно за криене :)

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.