Problema con il port knocking [RISOLTO]
Inviato: ven 12 ott 2007, 16:53
Sul mio serverino domestico, su cui eseguo una Slackware 11, ho voluto provare il port knocking, seguendo la bella guida pubblicata presso Sistemisti Indipendenti.
Preciso che sul router la porta 22 è aperta ed ho già abilitato il port forwarding, sempre sulla porta medesima.
Sul server carico anche un'ulteriore configurazione di sicurezza, all'interno del file /etc/rc.d/rc.firewall.
Eccola:
Bene, dopo aver provveduto ad installare knock, lo configuro in questo modo:
Avvio il demone, tutto sembra ok, ma quando dal client faccio per connettermi con un
la connessione (o il tentativo di connessione, per essere più precisi) va in timeout.
Il syslog mi dice:
Qualche indicazione su dove sbaglio?
Burroughs.
Preciso che sul router la porta 22 è aperta ed ho già abilitato il port forwarding, sempre sulla porta medesima.
Sul server carico anche un'ulteriore configurazione di sicurezza, all'interno del file /etc/rc.d/rc.firewall.
Eccola:
Codice: Seleziona tutto
INTERFACE="eth0"
IPTABLES="`which iptables`"
# Impostazioni di default
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
# Abilitazione dell'interfaccia di loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
# Regole anti-spoofing
$IPTABLES -A INPUT -s 10.0.0.0/8 -i $INTERFACE -j DROP
$IPTABLES -A INPUT -s 172.16.0.0/12 -i $INTERFACE -j DROP
# Regola per abilitare il traffico sulla subnet 192.168.1.0
$IPTABLES -A INPUT -s 192.168.1.0/24 -i $INTERFACE -j ACCEPT
# Regola di stateful inspection
$IPTABLES -A INPUT -i $INTERFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
# Regole riguardanti il PING
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP
# Abilitazione del forwarding
echo 1 >/proc/sys/net/ipv4/ip_forward
# Abilitazione del traffico sul device tun0
$IPTABLES -A INPUT -i tun0 -j ACCEPT
# Apertura delle porte per FTP, Webmin e DNS
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1025 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1026 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1027 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1028 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1029 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1030 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 10000 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 53 -j ACCEPT
# Apertura delle porte per SMTP e POP3
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 110 -j ACCEPT
# Apertura delle porte 1194 e 8859
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 1194 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 8859 -j ACCEPT
# Apertura delle porte per Apache, Spamassassin, DCC e rblsd
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 783 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 784 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 6277 -j ACCEPT
# Apertura delle porte per Samba
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 138 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 139 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 445 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 138 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 139 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 445 -j ACCEPTCodice: Seleziona tutto
[options]
logfile = /var/log/knockd.log
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
[closeSSH]
sequence = 9000,8000,7000
seq_timeout = 5
command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = synCodice: Seleziona tutto
knock ip_pubblico_del_server 7000 8000 9000 -vIl syslog mi dice:
Codice: Seleziona tutto
Oct 12 15:03:59 lago sshd[2462]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.Burroughs.