Въпросче за port knocking

[Стоян Иванов]

Добра вечер на всички! Отдавана само чета тук, затова сега смятам да се запиша . Имам Уидоус сървър зад един микротик, които общо взето е бекъп на пощенски клиенти, активни директории и споделени ресурси. Налага се от време на време да го достъпвам по RDP поради различни причини и досега го държах само с променен порт и спряно правило за NAT, което активирах само когато се налагаше да се логна. Вчера си написах едно правило, което своеобразно трябва се явява нещо като  port knocking. За сега всичко работи така както искам, но тъй като не съм чак толкова наясно ми се иска някой по-разбиращ да го погледне и да ми каже, трябва ли да добавя или премахна нещо, за да мога да разчитам на него. Най-вече ме интересува, трябва  ли да преместя правилото в RAW, като в mangle оставя само правилото за маркиране на конекцията или и така може да работи нормално?

/ip firewall mangle
add action=add-src-to-address-list address-list=knock_rdp address-list-timeout=15s chain=input \
    comment="RDP Port Knock" dst-port=1234 protocol=tcp
add action=add-src-to-address-list address-list=rdp_ok address-list-timeout=15s chain=input \
    dst-port=4321 protocol=tcp src-address-list=knock_rdp
add action=mark-connection chain=input dst-port=4321 new-connection-mark=rdp passthrough=yes \
    protocol=tcp src-address-list=rdc_ok
add action=add-src-to-address-list address-list=safe_rdp address-list-timeout=1h chain=input \
    connection-mark=rdp dst-port=4321 protocol=tcp src-address-list=rdp_ok
add action=accept chain=input dst-port=4321 protocol=tcp src-address-list=safe_rdp

/ip firewall nat
add action=dst-nat chain=dstnat comment="RDP " dst-address=xxx.xxx.xxx.xxx dst-port=xxxx protocol=tcp \
    src-address-list=safe_rdp to-addresses=192.168.x.x to-ports=xxxx

Предварително благодаря на отзовалите се!

Редактирано 18 Март, 2019 от Стоян Иванов

[JohnTRIVOLTA]

Аз да споделя как процедирам. Имам просто няколко правила за адване в различни листи. Имам поредица от "почуквания" за сорс лист за достъп с уинбокс, друга за пренасочване към услуги в локалните сегменти и т.н. В рамките на 3 секунди при правилно почукване на съответната поредица от протоколи и техните портове за нужният достъп се адва адрес към листа за 2 часа пример , която е предифинирана в правило за достъп със сорс лист.

Пример за достъп с WinBox на който порта е сменен с 9999:

/ip firewall filter
add action=add-src-to-address-list address-list=2538_pk address-list-timeout=3s chain=input comment=PortKnock0 dst-port=2538 protocol=tcp
add action=add-src-to-address-list address-list=1626_pk  address-list-timeout=3s chain=input comment=PortKnock1 dst-port=1626 protocol=udp src-address-list=2538_pk
add action=add-src-to-address-list address-list=7745_pk address-list-timeout=3s chain=input comment=PortKnock2 dst-port=7745 protocol=tcp src-address-list=1626_pk
add action=add-src-to-address-list address-list=winbox_pk address-list-timeout=2h chain=input comment=PortKnock_Last dst-port=12673 protocol=udp src-address-list=7745_pk
add action=accept chain=input comment="Allow WinBOX " dst-port=9999  in-interface=ether1 protocol=tcp src-address-list=winbox_pk

За пренасочване правилата са същите , но с предифинирано правило със сорс лист за дистинейшън нат :

/ip firewall filter
add action=add-src-to-address-list address-list=6677_pk address-list-timeout=3s chain=input comment=443_0 dst-port=6677 protocol=tcp
add action=add-src-to-address-list address-list=7788_pk  address-list-timeout=3s chain=input comment=443_1 dst-port=7788 protocol=udp src-address-list=6677_pk
add action=add-src-to-address-list address-list=9922_pk address-list-timeout=3s chain=input comment=443_2 dst-port=9922 protocol=tcp src-address-list=7788_pk
add action=add-src-to-address-list address-list=https_pk address-list-timeout=2h chain=input comment=443_Last dst-port=53673 protocol=udp src-address-list=9922_pk
/ip fi nat add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp to-addresses=172.16.0.100 to-ports=443 src-address-list=https_pk

 

[Самуил Арсов]

А какво прави "порт нак" всъщност ?

[111111]

 

Преди 2 часа, samyil написа:

А какво прави "порт нак" всъщност ?

"порт почукване" е превода

Пингваш дадени портове в съответна поредност и следящо правило включва друго действие.
пр.

отваря порт пренасочва рутинг или каквото ти кеф.

https://wiki.mikrotik.com/wiki/Port_Knocking

https://mikrotik.unibit.bg/articles/port-knocking/

[Самуил Арсов]

Да, аз всъщност знам какво прави и неправилно зададох въпроса малко на шега. По скоро искам да знам колегата как свързва порт нак с ремут десктоп ?

[Стоян Иванов]

То е описано горе в правилата но, общо взето е следното. При заявка на TCP порт 1234 ще се добави IP адреса на подателя в адресен списък с име „RDP Port Knock“ за 15 сек. Във второто правило при заявка на TCP порт 4321 ще се провери дали IP адресът на подателя е в списъка „RDP Port Knock“ и ако отговорът е да, то IP адреса ще се добави в списък с име „knock_rdp“ за 15 сек. Третото правило маркира TCP конекцията, записва нов адресен списък "rdp_ok"  с таиминг един час и е готов за връзка към истинския порт. Четвъртото правило приема маркираната връзка и записва адресен лист "safe_rdp" след което правилото за NAT към  RDS  казва, че само адресите в сигурната адресна листа имат право на достъп до NAT към него.

Офф, май не го обясних както трябва... Не ме бива много с обясненията. Процедурата е следната. В прозореца на rds login пиша;

47.10.233.9:1234 (позналия порта адрес е записан за 15сек)

47.10.233.9:4321 (позналия порта адрес е записан за 15сек)

Следва маркиране на конекцията, приемане на връзката и записване в листата "safe_rdp" която добавям в правилото за  NAT -а

47.10.233.9:3389 и готово.

Редактирано 22 Март, 2019 от Стоян Иванов

[Mile]

knock правим само на стари машини, които не искаме/нямаме време

да мигрираме. Главно Slack 10.x +

Работят и храна не искат. Параноята е хубаво нещо, но все пак.... нямате нищо интерсно за криене