2009/8/28 Leandro Moreira <lean...@leandromoreira.eti.br>: > Edson, > Se for possivel me mande as regras, pois esse conceito de port-knocking e > bem legal. > > Att. >
(Enviando pra lista, pra compartilhar com todo mundo.) Vou te passar um exemplo que uso aqui, certo?, comentando o significado de cada linha. (Repare no uso do módulo recent.) # Essa regra registra o endereço de origem do pacote que chega à porta "secreta" $CMD -A INPUT -p tcp -s 0/0 --sport $HPORTS -d $IP_EXT --dport $KNOCK_PORT -m recent --set --rsource --name SSHKNOCK -j DROP # As regras a seguir removem esse endereço caso alguém esteja tentando disparar pacotes para todas as portas, para acertar a certa "no escuro". Então, removemos a marca para uma porta acima e uma abaixo. $CMD -A INPUT -p tcp -s 0/0 --sport $HPORTS -d $IP_EXT --dport $((KNOCK_PORT - 1)) -m recent --remove --rsource --name SSHKNOCK -j DROP $CMD -A INPUT -p tcp -s 0/0 --sport $HPORTS -d $IP_EXT --dport $((KNOCK_PORT + 1)) -m recent --remove --rsource --name SSHKNOCK -j DROP # Libera o acesso se o mesmo endereço que bateu na porta "secreta" agora tenta conectar, num tempo máximo de até tantos segundos $CMD -A INPUT -p tcp -s 0/0 --sport $HPORTS -d $IP_EXT --dport $SSHD_PORT -m recent --rcheck --rsource --seconds 20 --name SSHKNOCK -j ACCEPT Você pode adaptar isso inclusive para outras chains, basta entender a lógica. Eu uso para acesso a serviços redirecionados por NAT, trabalhando com a chain FORWARD também. Eu considero uma camada de proteção razoável para muitos dos casos. Como dizem por aqui, segurança é um conceito, não um produto. =) E uma coisa importante é o custo da segurança pra você e pra quem quer quebrá-la. Você pode proteger de várias formar, mas quantos mais fizer isso, mais difícil fica pra vocẽ mesmo usar. Essa técnica não é perfeita, mas ajuda bem, já. Tente encontrar o artigo que eu falei. Nele é explicado direitinho o significado das coisas. Os endereços registrados ficam num arquivo e tal, é legal saber, e eu mesmo nem me lembro mais. Boa sorte. =) -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
