Port Match Knocking problema di corrispondenza origination

1

Ho impostato il port knocking usando first questo metodo usando knockd e poi ho provato a usare questo metodo utilizza solo iptables direttamente ma quando entrambi falliscono pensavo di controllare un po 'più a fondo il problema.

Correggimi se ho torto ma sembra che, sebbene io stia bussando allo stesso IP, il "da" ip sembra utilizzare ogni volta una porta diversa e sembra che la corrispondenza di iptables prenda in considerazione la porta da ?

Per visualizzarlo, sia x l'indirizzo IP da cui sto bussando (il client) e y sia l'indirizzo IP a cui sto tentando di accedere (il server) Se il mio pattern di battito è y: 123, y: 124, y: 125 dovrebbe sbloccare un canale per x ma non funziona.

Controllando i log del mio router, si dice che x sta colpendo le regole corrette per bussare, ma ogni bussata sembra provenire da una porta casuale in modo che x: 456 colpi y: 123, quindi x: 357 colpi y: 124 e infine x: 532 bussa y: 125 e sebbene la sequenza sia completa, 22 rimane bloccato.

Senza sapere nessun altro modo di controllare, presumo che sia la porta di cambiamento su x a causare il problema che mi porta alla mia domanda: c'è un modo per far sì che iptables ignori la porta quando combacia con un indirizzo sorgente (o sono io fravisando il problema e c'è qualcos'altro che posso controllare?)

Se aiuta, il mio primo controllo di corrispondenza è il seguente:

-A GATE1 -p tcp -m tcp --dport 123 -m recent --set --name AUTH1 --mask 255.255.255.255 --rsource -j DROP

o per essere ancora più specifici, i comandi per configurare iptables erano i seguenti (supponendo che le porte 123-125 colpissero):

sudo iptables -N GATE1
sudo iptables -N GATE2
sudo iptables -N GATE3
sudo iptables -N KNOCKING
sudo iptables -N PASSED
sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -j KNOCKING
sudo iptables -A GATE1 -p tcp -m tcp --dport 123 -m recent --set --name AUTH1 --mask 255.255.255.255 --sudo iptables rsource -j DROP
sudo iptables -A GATE1 -j DROP
sudo iptables -A GATE2 -m recent --remove --name AUTH1 --mask 255.255.255.255 --rsource
sudo iptables -A GATE2 -p tcp -m tcp --dport 124 -m recent --set --name AUTH2 --mask 255.255.255.255 --sudo iptables rsource -j DROP
sudo iptables -A GATE2 -j GATE1
sudo iptables -A GATE3 -m recent --remove --name AUTH2 --mask 255.255.255.255 --rsource
sudo iptables -A GATE3 -p tcp -m tcp --dport 125 -m recent --set --name AUTH3 --mask 255.255.255.255 --sudo iptables rsource -j DROP
sudo iptables -A GATE3 -j GATE1
sudo iptables -A KNOCKING -m recent --rcheck --seconds 30 --name AUTH3 --mask 255.255.255.255 --rsource -j sudo iptables PASSED
sudo iptables -A KNOCKING -m recent --rcheck --seconds 10 --name AUTH2 --mask 255.255.255.255 --rsource -j sudo iptables GATE3
sudo iptables -A KNOCKING -m recent --rcheck --seconds 10 --name AUTH1 --mask 255.255.255.255 --rsource -j sudo iptables GATE2
sudo iptables -A KNOCKING -j GATE1
sudo iptables -A PASSED -m recent --remove --name AUTH3 --mask 255.255.255.255 --rsource
sudo iptables -A PASSED -p tcp -m tcp --dport 22 -j ACCEPT
sudo iptables -A PASSED -j GATE1

Naturalmente non useresti mai queste porte specifiche, ma non metterei le mie vere porte online, indipendentemente dalla mancanza di dettagli del server:)

    
posta L33tCh 15.04.2016 - 11:39
fonte

0 risposte

Leggi altre domande sui tag