Kopogtassunk haza!

A nemrég postolt tűzfal-szkriptem teljesen jól működik, azóta sem kellett átírnom benne semmit. Az Internet felöl minden bejövő kapcsolatot letilt, amely elég nagy biztonságot ad.
Felmerült bennem az igény mégis, hogy néha hasznos lehet távolról hozzákapcsolódni a géphez legalább egy távoli konzol segítségével, hiszen ha be tudok jelentkezni a gépre, már a legtöbb szükséges tevékenységet el lehet végezni.
A kérdés az, hogy milyen módon lehet ezt úgy biztosítani, hogy ne csökkentsük szükségtelen mértékben a biztonságot?
Ilyenkor jön jól a "port kopogtatás" (port knocking), amely segítségével adott előre megadott portokat megfelelő sorrendben megkopogtatva bizonyos műveletet hajthatunk végre, jelen esetben a tűzfalon engedélyezhetjük az sshportjához (22) való kapcsolódást. A leírás, amely alapján készítettem itt található, én a konfigurációs állományt (amely a /etc/knockd.conf fájl) a következőképpen módosítottam a tűzfal-szkripthez:

[options]

logfile = /var/log/knockd.log

[opencloseSSH]
sequence = ide_a_portok_jönnek_lásd_a_leírást
seq_timeout = 5
tcpflags = syn
start_command = /sbin/iptables -A inet -s %IP% -p tcp --dport 22 -j ACCEPT
cmd_timeout = 30
stop_command = /sbin/iptables -D inet -s %IP% -p tcp --dport 22 -j ACCEPT

Még annyit tennék hozzá, hogy mivel a tűzfal-szkript elfogadja a már létrejött kapcsolathoz tartozó bejövő adatcsomagokat, ezért a leírásban található "Kiegészítés a második példához" részre nincs szükség. Ezzel a beállítással a portok helyes lekopogtatása után 30 másodperc áll rendelkezésre a bejelentkezéshez szükséges kapcsolatfelvételre, különben újra visszazár a tűzfal.

Mindenki kedves egészségére. :)

Címkék: