https://www.opennet.ru/openforum/vsluhforumID3/63049.html Реализация идеи динамического открытия доступа к 22 порту, при предварительном обращении telnet-ом на определенный сетевой порт (в примере 333 - открыть доступ и 334 - закрыть). Идея реализована средствами iptables, без привлечения дополнительных утилит и анализаторов логов.<br><br> # Создаю цепочку с именем SSH<br> iptables -N SSH<br> # Правило по умолчанию в INPUT - DROP<br> iptables -P INPUT DROP <br> # Всё что пришло на 22 порт - в цепочку SSH<br> iptables -A INPUT -p tcp --dport 22 -j SSH <br> # Всё что пришло на 333 порт - в цепочку SSH<br> iptables -A INPUT -p tcp --dport 333 -j SSH <br> # Всё что пришло на 334 порт - в цепочку SSH<br> iptables -A INPUT -p tcp --dport 334 -j SSH <br><br>Разделения на цепочки сделано для своего удобства, от этого можно и отказаться. <br><br>Теперь заполняем цепочку SSH.<br><br> # Проверяем на наличие имени "SSH" у IP адреса устанавливающего соединение на 22 порт. <br> # И если оно присутствует - то ACCEPT<br> iptables -A SSH -p tcp -m state --state NEW -m tcp --dport 22 -m recent - https://www.opennet.ru/openforum/vsluhforumID3/63049.html#12 Thu, 28 Jan 2010 10:38:42 GMT Более подробная и расширенная информация есть здесь - http://wiki.enchtex.info/howto/iptables/ssh-guard<br> https://www.opennet.ru/openforum/vsluhforumID3/63049.html#11 Sun, 24 Jan 2010 12:34:04 GMT Занятно, но если не бояться насчёт возможности установления фактов соединений с секретными портами -- то заметно проще, заодно эффективней от сканов отодвинуть ssh на левый порт. А если бояться, то лучше даже не port knocking в классическом виде (например, http://zeroflux.org/knock умеет и последовательности tcp/udp-портов), а реализации SPA (single packet auth -- авторизация по одному криптопакету).<br> https://www.opennet.ru/openforum/vsluhforumID3/63049.html#10 Sat, 23 Jan 2010 10:14:23 GMT &gt;&gt; минус всего этого дела в том, что не изо всяких мест <br>&gt;&gt; могут быть доступны порты 3333/tcp и 64444/tcp.<br>&gt;<br>&gt;например? <br><br>существует масса сетей (от сетей мелких районных провайдеров до корпоративных сетей), в которых наружу закрыто все, кроме нескольких самых популярных портов вроде 80/tcp, 110/tcp, 5190/tcp и некоторых других. из таких мест в свою хитрую дверь не попадешь.<br> https://www.opennet.ru/openforum/vsluhforumID3/63049.html#9 Thu, 21 Jan 2010 22:15:18 GMT Я придумал круче <br><br>#!/bin/bush<br>name() {<br> local l=$1<br> [ "$l" == "" ] && l=20<br> tr -dc "A-Za-z0-9_.,:-" &lt; /dev/urandom &#124; head -c ${l} &#124; xargs<br>}<br><br>TABLE=`name`;<br><br>iptables -N "$TABLE";<br>iptables -A INPUT -p tcp --dport $(( 1025 + ( $RANDOM % (65534-1025)))) -m recent --rcheck --seconds $((( 10 + $RANDOM ) % 180)) --name "$TABLE" -j ACCEPT;<br>iptables -A INPUT -p tcp --dport $(( 1025 + ( $RANDOM % (65534-1025)))) -m recent --set --name "$TABLE" -j REJECT --reject-with tcp-reset;<br><br><br>iptables -L -n &#124; gpg -ae -r sEcREtUSer@c00lADmiN.рф &#124; mail -s "Penis Enlager" sEcREtUSer@c00lADmiN.рф<br><br>#/*-----*/<br><br># iptables -L<br><br>ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23377 recent: CHECK seconds: 86 name: u0MPqLRJvborre.FNgye side: source <br>REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1742 recent: SET name: u0MPqLRJvborre.FNgye side: source reject-with tcp-reset https://www.opennet.ru/openforum/vsluhforumID3/63049.html#8 Thu, 21 Jan 2010 14:57:18 GMT параноик?<br> https://www.opennet.ru/openforum/vsluhforumID3/63049.html#7 Thu, 21 Jan 2010 13:44:31 GMT Спасибо за идею.<br>Изначально почерпнул ее из твоего блога, потом сходил на сайт разработчика и дополнительно почерпнул кое-что оттуда. :)<br><br>Мне кажется, что лучше и проще делать так:<br><br>-A INPUT -p tcp --dport 3333 -m recent --rcheck --seconds 30 --name SSH -j ACCEPT<br>-A INPUT -p tcp --dport 64444 -m recent --set --name SSH -j REJECT --reject-with tcp-reset<br><br>здесь SSH-демон слушает на порту 3333/tcp, а порт 64444/tcp используется для "открывания двери".<br>дверь открывается только на 30 сек. если в течение этого времени подключение не произойдет, она закроется. поэтому можно не беспокоиться о том, что нужно закрыть ее после себя.<br>при таком сильном разнесении портов и таком таймауте вероятность попадания "врага" в "порт открывания двери", а затем в порт ssh-демона почти нулевая.<br>-j REJECT --reject-with tcp-reset нужно для того, чтобы удобнее было "стукаться" в "порт открывания двери, например, telnet-клиентом (не будет висеть, сразу выйдет).<br><br>P.S. минус всего этого дела в том, что не изо всяких мест могут https://www.opennet.ru/openforum/vsluhforumID3/63049.html#5 Tue, 19 Jan 2010 15:08:29 GMT Там запоминается IP, если я сижу с IP 1.1.1.1 а скан идёт с 2.2.2.2 то 2.2.2.2 просто откроет/закроет себе порт.<br><br>Кстати: Безопасность - это комплексное решение (С)Мой друг.<br><br>Port-knoking не панацея, но избавиться от ботовбрутфорсеров реально помогает. А за iptables находится ssh там где авторизация по ключам и т.д.<br>Анализ логов, также никто не отменял, и если в логах обнаружится брутфорс, то как минимум можно сменить порты.<br><br><br>P.S&gt;<br>Не считайте, что эта технология на 100% защищает Ваш порт от стороннего проникновения.<br> https://www.opennet.ru/openforum/vsluhforumID3/63049.html#4 Tue, 19 Jan 2010 14:54:10 GMT &gt;Прикольно, это мой блог :) я там всякую фигню пишу... :):):) <br><br>А-га, вот ещё один блоггер:<br>http://roland.entierement.nu/blog/2008/08/19/netfilter-based-port-knocking.html<br><br>Порт-нокер _без_ демона или сканирования логов -- средствами "того самого" -m recent.<br> https://www.opennet.ru/openforum/vsluhforumID3/63049.html#3 Tue, 19 Jan 2010 14:38:17 GMT А если будут сканировать во время активной сессии ssh?....<br>