Pagina 1 di 1

Problema con il port knocking [RISOLTO]

Inviato: ven 12 ott 2007, 16:53
da Burroughs
Sul mio serverino domestico, su cui eseguo una Slackware 11, ho voluto provare il port knocking, seguendo la bella guida pubblicata presso Sistemisti Indipendenti.
Preciso che sul router la porta 22 è aperta ed ho già abilitato il port forwarding, sempre sulla porta medesima.
Sul server carico anche un'ulteriore configurazione di sicurezza, all'interno del file /etc/rc.d/rc.firewall.
Eccola:

Codice: Seleziona tutto

INTERFACE="eth0"
IPTABLES="`which iptables`"

# Impostazioni di default
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# Abilitazione dell'interfaccia di loopback
$IPTABLES -A INPUT -i lo -j ACCEPT

# Regole anti-spoofing
$IPTABLES -A INPUT -s 10.0.0.0/8 -i $INTERFACE -j DROP
$IPTABLES -A INPUT -s 172.16.0.0/12 -i $INTERFACE -j DROP

# Regola per abilitare il traffico sulla subnet 192.168.1.0
$IPTABLES -A INPUT -s 192.168.1.0/24 -i $INTERFACE -j ACCEPT

# Regola di stateful inspection
$IPTABLES -A INPUT -i $INTERFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

# Regole riguardanti il PING
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP

# Abilitazione del forwarding
echo 1 >/proc/sys/net/ipv4/ip_forward

# Abilitazione del traffico sul device tun0
$IPTABLES -A INPUT -i tun0 -j ACCEPT

# Apertura delle porte per FTP, Webmin e DNS
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1025 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1026 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1027 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1028 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1029 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1030 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 10000 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 53 -j ACCEPT

# Apertura delle porte per SMTP e POP3
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 110 -j ACCEPT

# Apertura delle porte 1194 e 8859
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 1194 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 8859 -j ACCEPT

# Apertura delle porte per Apache, Spamassassin, DCC e rblsd
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 783 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 784 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 6277 -j ACCEPT

# Apertura delle porte per Samba
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 138 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 139 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 445 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 138 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 139 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 445 -j ACCEPT
Bene, dopo aver provveduto ad installare knock, lo configuro in questo modo:

Codice: Seleziona tutto

[options]
logfile = /var/log/knockd.log

[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn

[closeSSH]
sequence = 9000,8000,7000
seq_timeout = 5
command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
Avvio il demone, tutto sembra ok, ma quando dal client faccio per connettermi con un

Codice: Seleziona tutto

knock ip_pubblico_del_server 7000 8000 9000 -v
la connessione (o il tentativo di connessione, per essere più precisi) va in timeout.
Il syslog mi dice:

Codice: Seleziona tutto

Oct 12 15:03:59 lago sshd[2462]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.
Qualche indicazione su dove sbaglio?

Burroughs.

Inviato: ven 12 ott 2007, 21:08
da Burroughs
Mi rispondo da solo: nella fretta avevo dimenticato di aprire le porte che vengono utilizzate da knockd.

Burroughs.