knockd является порт сервера-стук.
Это слушает всего трафика на Ethernet (или PPP) интерфейса, глядя на доставку по "нокаут" последовательностей Порт-хитов. Клиент делает эти Порт-парад, отправив TCP (или UDP) пакет в порт на сервере. Этот порт не должен быть открыт - с knockd слушает на уровне канального уровня, он видит весь трафик, даже если он, предназначенный для закрытого порта. Когда сервер обнаруживает определенную последовательность портов хитов, она выполняет команду, определенную в конфигурационном файле. Это может быть использовано, чтобы открыть отверстия безопасности в брандмауэре для быстрого доступа.
В приведенном ниже примере может быть использован для запуска строгий (политика запрета) брандмауэр, который можно получить доступ только после успешного последовательности детонации.
1) Клиент отправляет четыре пакетов TCP SYN на сервер, на следующих портов:
38281, 29374, 4921, 54918
2) Сервер обнаруживает это и запускает Iptables команда, чтобы открыть порт 22 для клиента.
3) Клиент подключается к серверу с помощью SSH и делает то, что должен делать.
4) Клиент отправляет еще четыре пакетов TCP SYN на сервер:
37281, 8529, 40127, 10100
5) Сервер обнаруживает это и выполняется еще IPTables закрыть порт 22 для клиента.
Что нового в этой версии:
Комментарии не найдены