Frage Port Knocking

**rauberer** · 21. 11. 2011, 16:24

Hallo,

ich habe auf einem lokalen Testserver mal Port Knocking installiert.

/etc/default/knockd

Code:

START_KNOCKD=1

/etc/knockd.conf

Code:

[options]
       UseSyslog
       logfile = /var/log/knockd.log

    [openSSH]
       sequence    = 7000,8000,9000
       seq_timeout = 10
       command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 64000 -j ACCEPT
       tcpflags    = syn

    [closeSSH]
       sequence    = 9000,8000,7000
       seq_timeout = 10
       command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 64000 -j ACCEPT
       tcpflags    = syn

/etc/init.d/knockd start

Trotzdem kann ich mich über ssh, ohne vorher anzuklopfen, einloggen. Wo liegt der Fehler?

**SP4C3** · 21. 11. 2011, 17:10

Code:

    [closeSSH]
       sequence    = 9000,8000,7000
       seq_timeout = 10
       command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 64000 -j ACCEPT
       tcpflags    = syn

Mach aus ACCEPT ein REJECT in der closeSSH.

**HouseKatZe** · 23. 11. 2011, 16:34

Ich würde bei dem iptables Befehl in [openSSH] den "-A" Parameter durch "-I" ersetzen, dann wird die Regel an den Anfang der Tabelle eingefügt und nicht am Ende. Dann solltest du mit einer anderen Regel den iptables Port für alle sperren. In etwa so:

iptables -A INPUT -s 0.0.0.0 -p tcp --dport 64000 -j DROP

Mit der Regel oben allein ist der Port immer gesperrt. Wenn du erfolgreich Anklopfst wird der iptables Befehl in [openSSH] ausgeführt und an den Anfang der Tabelle geschrieben und damit zuerst angewandt. Der Befehl in [closeSSH] löscht den Eintrag dann wieder und SSH ist für alle gesperrt.

PS: Du kannst knockd automatisch den Port wieder sperren lassen. Sprich du klopfst an, verbindest, iptables Regel wird wieder gelöscht nach X Sekunden. Wenn iptables richtig eingestellt ist bleibt man verbunden, das State Modul kannst du dafür nutzen.