简介
端口敲门通过关闭SSH端口,服务器监听预设的端口序列,当客户端按正确顺序敲门后,防火墙规则动态开放SSH端口,仅允许敲门成功的IP访问,阻止未授权访问。
提示: 为了防止把自己关在门外,建议先测试再上生产环境,以下配置我是亲自测试过的能正常运行。
正式开始
1:安装iptables
大部分常见的Linux发行版已经默认安装了,无需额外安装,并且你安装了Docker后也是肯定安装了iptables。可以运行iptables --version查看版本。如果没有安装,可以执行这个命令安装:
sudo apt update && sudo apt install iptables -y2:安装端口敲门程序knockd
sudo apt update && sudo apt install knockd -y3:配置knockd
knockd的默认配置文件路径在/etc/knockd.conf
[options]
UseSyslog
logfile = /var/log/knockd.log
# 开启SSH访问 - 只允许敲门的IP访问
[openSSH]
sequence = 5003,5001
seq_timeout = 15
start_command = /sbin/iptables -C INPUT -s %IP% -p tcp --dport 22 -j ACCEPT || /sbin/iptables -I INPUT 1 -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
cmd_timeout = 10
# 关闭所有SSH访问 - 阻止所有IP
[closeSSH]
sequence = 7001
seq_timeout = 15
start_command = /sbin/iptables -C INPUT -p tcp --dport 22 -j DROP || /sbin/iptables -I INPUT 1 -p tcp --dport 22 -j DROP && /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT 2>/dev/null
tcpflags = syn
cmd_timeout = 10可以将配置中的syn改成all,代表需要成功建立tcp三次握手才能触发敲门。也可以多增加几个敲门端口,也可以改成仅udp敲门,这样的话会加大触发敲门动作的难度
4:启动knockd
sudo systemctl enable knockd
sudo systemctl start knockd5:关门
网页访问7001端口关闭SSH服务,阻止所有IP访问SSH
可以断开SSH连接,然后重新连接测试一下
6:敲门
按顺序网页访问5003和5001端口,即使网页返回无响应也能成功触发敲门,需要15秒内完成动作,敲门后会自动放行敲门的IP允许连接SSH。
Liunx可以使用wget等命令敲门
wget小提示:wget可以快速测试某个端口通不通,不通的话会直接返回拒绝连接
(可选)关闭端口敲门
停止并禁用knockd
sudo systemctl stop knockd
sudo systemctl disable knockd清除防火墙所有的自定义规则
sudo iptables -F以上配置可以根据自己需求修改
端口敲门不仅限于SSH端口,还能实现更多玩法。
评论 (0)