forum.opennet.ru

"Раздел полезных советов: Пример правил nftables с реализацией port knoсking для открытия доступа к SSH"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Пример правил nftables с реализацией port knoсking для открытия доступа к SSH"	+6 +/–
Сообщение от Hui (?), 15-Апр-23, 12:02
Что за шизики пишут эти статьи.... Для создания правила port-knocking с использованием nftables для открытия порта 22 после нока на порту 1122, вы можете использовать следующую команду: nft add rule ip filter input tcp dport 22 ct state new,untracked meta nftrace set 1 reject with tcp reset nft add rule ip filter input tcp dport 1122 tcp flags syn meta nftrace set 1 ct state new,untracked tcp dport 22 accept Это создаст два правила. Первое правило запрещает входящий трафик на порт 22, если он не соответствует заданным условиям. Второе правило открывает порт 22 после успешного нока на порту 1122. Важно понимать, что это только пример и вы можете изменить порты и условия в зависимости от своих потребностей.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Раздел полезных советов: Пример правил nftables с реализацией port knoсking для открытия доступа к SSH, auto_tips, 01-Апр-23, 08:03 [смотреть все]

chain OUTPUT -- комментарии при обработке лупбека неправильные Понятно, что к, sabitov, 01-Апр-23, 08:03 (1) //
- Так лучше Я, если честно, думал что возникнет вопрос, прежде всего, про iif d, umask, 02-Апр-23, 01:04 (4)
Ну, и если тешить паранойю, то icmpv6 лучше проверять отдельным правилом, т к о, sabitov, 01-Апр-23, 08:19 (2) //
- gt оверквотинг удален Спасибо А можно увидеть ваш rule set полностью Думаю, зд, umask, 02-Апр-23, 01:11 (5)
Для включения port knocking нужно закомментировать правила в rate limits и р, anonymous, 01-Апр-23, 13:18 (3)
Вообще сурово так, для такой задачи то Не проще URL knocking Курлишь секретны, OpenEcho, 02-Апр-23, 08:01 (6) //
- Есть маленькая незадачка - вёбсервер к тому времени может лечь, а чтобы поднять , Tron is Whistling, 04-Апр-23, 09:56 (10) //
  - И как часто веб сервера ложаться И ни какого мониторинга который автоматическ, OpenEcho, 04-Апр-23, 19:31 (12) //
    - Ещё раз SSH нужен для доступа к системе в т ч в критических случаях Подвязыва, Tron is Whistling, 05-Апр-23, 09:19 (16)
      - SYN кстати прикольная тема На тот же порт, где и SSH Выглядеть будет просто ка, Tron is Whistling, 05-Апр-23, 09:21 (17)
    - Вот это и будет как раз именно тот самый день Когда сильно пожалеешь о усложнен, Аноним, 06-Июл-23, 17:04 (33)
- Впрочем никто не мешает сделать вместо port knocking просто u32 knocking - и пос, Tron is Whistling, 04-Апр-23, 09:57 (11) //
  - Это будет явный засвет для MITM в смысле что используется какая-то технология, , OpenEcho, 04-Апр-23, 19:36 (13) //
    - Ну, ещё раз повторюсь - HTTPS к тому времени может лежать, и чего делать Ехать , Tron is Whistling, 05-Апр-23, 09:14 (14)
    - Ну и опять же - можно не засвечивать UDP бывает разный На порт 53 например отп, Tron is Whistling, 05-Апр-23, 09:16 (15)
set trusted_ipv4_set 169 254 169 254,Зачем метадату то в трастед , Anonx, 02-Апр-23, 10:06 (7)
Вообще из всей этой портяны неплохо бы было выделить только собственно port knoc, Tron is Whistling, 04-Апр-23, 09:51 (8)
На iptables recent или iptables ipset SET сие кстати выглядит куда читабельнее , Tron is Whistling, 04-Апр-23, 09:55 (9) //
- И примерно в 3 раза короче , Аноним, 05-Апр-23, 18:33 (19)
Ложь Это стырено с nftables manual , Аноним, 05-Апр-23, 18:32 (18) //
- O_oНичего себе Весь ruleset сп ли , Pensia2077, 05-Апр-23, 23:50 (20) //
  - Ваш мусор до и после стыренных правил ничего не меняет Ссылки на оригиналы остав, Аноним, 06-Апр-23, 13:19 (21)
А со стороны клиента как стучаться в это нужно и чем , Страдивариус, 06-Апр-23, 15:26 (22) //
- knockd knock, Pensia2077, 12-Апр-23, 01:27 (25)
Не надо так мудрить с шибангом , pashev.ru, 09-Апр-23, 00:06 (23) //
- Why not , Pensia2077, 12-Апр-23, 01:26 (24)
Что за шизики пишут эти статьи Для создания правила port-knocking с использов , Hui, 15-Апр-23, 12:02 (26)
Никогда не понимал, зачем port knocking для SSH Там итак где-то 1 попытка в сек, Пряник, 12-Май-23, 09:55 (28) //
- Логи засираются , Страдивариус, 05-Июл-23, 21:19 (32)
- 4 гига логов по сравнению с 20 мегабайт Если места хватает, то не страшно, но н, xen, 28-Июл-23, 15:00 (36) //
  - Вспоминаем про RateLimit логов , Пряник, 28-Июл-23, 15:50 (37) //
    - Ага, чтобы успешный вход злоумышленника вообще не был залогирован , mikhailnov, 01-Авг-23, 20:29 (38)
Можно traceroute tracepath в студию, где ICMPv6 без искажений проходит , pavlinux, 13-Июн-23, 13:49 (29)
Сложно очень Я бы примерно так действовал для последовательности 1111, 2222, 33, Аноним, 16-Июн-23, 22:49 (30)
Такая простыня проще надо быть iptables -A INPUT -p tcp -m tcp --dport 1111 -, Аноним, 26-Июн-23, 17:01 (31)
nftables - фаервол курильщикаiptables ipset - фаервол здорового человека, Аноним, 10-Июл-23, 17:29 (34)
Коллеги, прошу прощения если я чего-то матёро недогоняю , но вот реально, эта , daWSL, 21-Июл-23, 21:08 (35)
port knocking это своего рода пароль но зачем есть же сертификаты, лохпидр, 05-Авг-23, 13:21 (39)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру