我试图添加端口敲门到我的家庭networking设置,以便我可以隐藏世界上的一些服务(SSH是最重要的)。 我碰巧敲了一下,看起来像是一个完美的解决scheme,除了它是平坦的,不为我工作。
我的计划是在家庭networking防火墙内运行一个服务器机器上的实例。 我将从路由器/防火墙端口转发端口敲击序列所需的所有端口。 例如,我将转发端口100,200,300,400加端口22到服务器(显然,这些将不是我将使用的实际端口,因为我已经在这里做广告)。 然后,我将在内部服务器上阻塞端口22,并在发送正确的端口敲击序列(在本例中为100 – 200 – 300 – 400)时设置敲打规则以打开一小段时间窗口。 对于我的初始设置和testing,我只是试图从防火墙networking设置中获取端口敲打工作。 我敲了一下服务器上运行,我从networking内的另一台机器敲门 – 端口转发不应该使我的testing设置复杂化。
这只是不工作。 我发出了敲门顺序,我找不到任何证据表明knockd检测到了它。 在knockd的日志中(甚至打开debugging信息之后)什么都没有,标准输出。 我试图让事情变得简单,只要敲出一个文件到/ tmp,当它得到正确的序列 – 即我甚至没有做任何与iptables的服务器上的任何复杂的 – 而我没有得到成功。
我已经试着按照食谱网站的build议实施敲门。 4个telnet命令发送序列,敲“nc -z主机端口端口”,甚至敲命令行客户端本身。
我正在使用的服务器恰好也运行着vmware server 2.0.2。 由于knockd侦听networking堆栈中的第2级(据我所知),我想知道是什么vmware正在做什么来支持桥接networking和什么knockd正在做的冲突。
我在上面提到的服务器上运行的虚拟机内部尝试了类似的设置,但仍然没有任何效果。 所以我再次想知道vmware是否在低networking层面上支持客户。
所以我想知道是否有人在这里知道更多的细节。 像VMware这样的技术可以在VMware环境中使用吗? 我是否必须设置一个单独的,真正的服务器来支持这种隐形ssh在我的家庭networking?
我曾经使用过knockd – 看不出有什么理由不能在vmware服务器上运行,或者在虚拟机上运行 – 除了你的iptables设置中的冲突。 你不需要为此设置一个单独的框。
但是,如果你有一个单独的盒子可以使用,那么设置一个专门的服务器可能是非常值得的,只需要使用最less的variables就可以完成设置工作。 然后将您的testingconfiguration文件(s)传输到真正的盒子。
虽然我对这个“敲门”技术没有任何反应,但我会build议:
这比端口敲打更方便,恕我直言,稍微安全一些。