Вторник
21.11.2017, 02:06
Приветствую Вас Гость | RSS
Главная Каталог статей Регистрация Вход
Меню сайта

Категории раздела
Разное [15]
Документация [18]
Авторские статьи [45]

Поиск

Свежие статьи
Динамическое деление скоро...
port knocking на mikrotik
Установка NGINX без прав R...
Как настроить время (NTP S...
Настраеваем CROND
Биллинг MikBill на UBUNTU
Даунгрейд PHP до версии 5....
Устанавливаем в Ubuntu 10....
Как настроить MySQL
Как настроить ZendOptimize...

Форма входа
Логин:
Пароль:

Главная » Статьи » Авторские статьи

port knocking на mikrotik

«Тук-тук! Кто там?» или port knocking на mikrotik

Технология port knocking позволяет выполнять любые действия на сервере, даже если все порты на нем закрыты. В общем случае, Вам достаточно соедениться с определенными портами, в определенной последовательности, которую знаете только Вы и на сервере выполнятся действия, описанные Вами.

Т.к. в базовом функционале микротика (без использования скриптов) не заложено никакого функционала для работы с port knicking, то будем делать все с помощью стандартного фаервола.

Возьмем базовый случай: после обращения к определенным портам в определенном порядке нам открывается 22 порт для управления микротиком по ssh. Для начала определим необходимую последовательность портов и протоколов, допустим это будет 44 порт udp, 8791 порт tcp, 62014 порт tcp, 28014 порт udp и 12761 udp. При простукивании первого порта ip будет заноситься во временный список адресов, после чего при простукивании следующего порта проверяется наличие в ip в адресном списке прошлого порта и, если он там есть, то ip заносится в следующий список и так для всех портов. Чтобы не плодить огромное кол-во списков нужно ставить время жизни для них в пределах 10-15 секунд.

/ip firewall filter

add chain=input protocol=udp dst-port=44 action=add-src-to-address-list address-list=knock_stage1 address-list-timeout=10s disabled=no

add chain=input protocol=tcp dst-port=8791 src-address-list=knock_stage1 action=add-src-to-address-list address-list=knock_stage2 disabled=no

add chain=input protocol=tcp dst-port=8791 src-address-list=knock_stage2 action=add-src-to-address-list address-list=knock_stage3 address-list-timeout=10s disabled=no

/ip firewall filter>add chain=input protocol=tcp dst-port=62014 src-address-list=knock_stage3 action=add-src-to-address-list address-list=knock_stage4 address-list-timeout=10s disabled=no

add chain=input protocol=udp dst-port=28014 src-address-list=knock_stage4 action=add-src-to-address-list address-list=knock_stage5 address-list-timeout=10s disabled=no

add chain=input protocol=udp dst-port=12671 src-address-list=knock_stage5 action=add-src-to-address-list address-list=knock_safe address-list-timeout=15m disabled=no

В последней строке мы добавляем ip в список доверенных на 15 минут (время можно изменить исходя из потребностей).

Дальше следует добавить правило, разрешающее коннект на 22 порт для списка доверенных и запретить доступ для всех остальных.

add chain=input protocol=tcp dst-port=22 src-address-list=knock_safe action=accept disabled=no

add chain=input protocol=tcp dst-port=22 action=reject reject-with=tcp-reset disabled=no

Последним правилом мы сбрасываем все соединения на 22 порт, блокирование с reject-with=tcp-reset позволяет оградиться от стандартного сканирования портов, nmap просто не увидит этот порт, тогда как с action=drop nmap бы показал стат порта filtered.

Теперь, чтобы достучаться до сервера нужно использовать утилиту knock под windows, под linux входит в состав knockd. Для нашего случая запрос на сервер будет выглядеть так:

knock 192.168.100.1 44:udp 8791:tcp 62014:tcp 28014:udp 12761:udp

  • Шкаф 19

    Шкаф настенный - компактное размещение серверного оборудования

    silverlan-o.ru

  • Антенны GSM 900

    В продаже - Антенна, цены ниже! Неликвидные остатки

    russcom-antenna.ru

  • Кухни зов

    Мебель для кухни из массивов благородных пород с мраморными столешницами

    russia-zov.ru



Источник: http://evilmind.ru/mikrotik/mikrotik-port-knocking/

Спонсоры данной статьи


Категория: Авторские статьи | Добавил: -=shurf=- (23.11.2011)
Просмотров: 13059 | Теги: mikrotik, port knocking | Рейтинг: 4.0/3

Настройка Mikrotik
замануха
Настройка тегированных веланов...
Мануал по настройке программно...
MikroTik RouterOS – CommandLin...
port knocking на mikrotik
Примеры установки MikroTiK Rou...
RouterOS на офисном шлюзе, час...
Mikrotik Burst Limit и ABills
NAT
Mikrotik - QoS, Bandwidth cont...

Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Профиль
Привет: Гость

Сообщения:

Гость, мы рады вас видеть. Пожалуйста зарегистрируйтесь или войдите!

Реклама

Наш опрос
Чего добавить на сайте?
Всего ответов: 86

Нашел ошибку?
Система Orphus

Статистика

Онлайн всего: 3
Гостей: 3
Пользователей: 0



Бесплатный хостинг uCoz