我们已经向您展示了如何通过路由器上的“端口敲门”远程触发WOL。在本文中,我们将展示如何使用它来保护VPN服务。
Aviad Raviv&;bfick提供的图片。
如果您使用过DD-WRT的VPN内置功能,或者在您的网络中有另一个VPN服务器,那么您可能会欣赏通过将其隐藏在敲打序列后面来保护其免受暴力攻击的能力。通过这样做,您将过滤掉试图访问您的网络的脚本小子。如上所述,正如前一篇文章中所述,端口敲门并不能取代良好的密码和/或安全策略。请记住,只要有足够的耐心,攻击者就可以发现序列并执行重播攻击。还有请记住,实现这一点的缺点是,当任何VPN客户端想要连接时,它们必须事先触发敲打序列,如果它们由于任何原因无法完成该序列,他们根本无法使用VPN。
为了保护VPN服务,我们将首先通过阻塞1723的实例化端口来禁用所有可能的通信。为了实现这个目标,我们将使用iptables。这是因为,在大多数现代Linux/GNU发行版上,尤其是在DD-WRT上,通信就是这样被过滤的。如果您想了解iptables的更多信息,请查看它的wiki条目,并查看我们之前关于这个主题的文章。一旦服务受到保护,我们将创建一个敲打序列,该序列将临时打开VPN实例化端口,并在配置的时间后自动关闭它,同时保持已建立的VPN会话连接。
注意:在本指南中,我们以pptpvpn服务为例。也就是说,同样的方法也可以用于其他VPN类型,您只需更改被阻止的端口和/或通信类型。
我们开始吧。
DD-WRT上的默认“阻止新VPN”规则
虽然下面的“代码”片段可能适用于每一个使用Linux/GNU发行版的、自尊的iptables,但因为有太多的变体,我们将只展示如何在DD-WRT上使用它。如果您愿意,没有什么可以阻止您直接在VPN盒上实现它。然而,如何做到这一点,超出了本指南的范围。
因为我们想增强路由器的防火墙,所以添加到“防火墙”脚本是合乎逻辑的。这样做,将导致每次刷新防火墙时都执行iptables命令,从而使我们的增强功能保持不变。
从DD-WRT的Web GUI:
inline="$( iptables -L INPUT -n | grep -n "state RELATED,ESTABLISHED" | awk -F : {'print $1'} )"; inline=$(($inline-2+1)); iptables -I INPUT "$inline" -p tcp --dport 1723 -j DROP
What is this “Voodoo” command?
The above “voodoo magic” command does the following:
KnockD configuration
We need to create a new triggering sequence that will enable new VPN connecti*** to be created. To do this, edit the knockd.conf file by issuing in a terminal:
vi /opt/etc/knockd.conf
Append to the existing configuration:
[enable-VPN] sequence = 02,02,02,01,01,01,2010,2010,2010 seq_timeout = 60 start_command = iptables -I INPUT 1 -s %IP% -p tcp --dport 1723 -j ACCEPT cmd_timeout = 20 stop_command = iptables -D INPUT -s %IP% -p tcp --dport 1723 -j ACCEPT
This configuration will:
That’s it, your VPN service should now be connectable only after a successful “knock”.
Author‘s tips
While you should be all set, there are a couple of points that i feel need mentioning.
Note: In order to do this, you will need to get Email functionality on your router, which currently there really isn’t one that works because the SVN snapshot of OpenWRT’s opkg packages is in disarray. That is why I suggest using knockd directly on the VPN box which enables you to use all the opti*** of sending email that are available in Linux/GNU, like SSMTP and sendEmail to mention a few.
谁扰乱了我的睡眠?
...网收音机的选择,这仍然是一个伟大的项目。它让您了解如何安装自定义固件,以及如何欣赏流媒体音乐。 ...
...有几种不同的方法来设置VPN。在本文中,我们将向您展示如何以几种不同的方式设置VPN,有些简单,有些更复杂。 ...
考虑使用VPN吗?也许你已经注册了,但不确定如何正确使用它。你甚至可能已经在使用VPN了,但是你不知道如何在其他设备上使用它。 ...
...自己的软件来简化这一点,但您并不真正需要它。请查看如何在Windows 10上安装VPN。 ...
...PN服务,那么您应该确保始终为其修补安全漏洞。 相关:如何根据您的需求选择最佳的VPN服务 选项一:获取具有vpn功能的路由器 您可以购买一个预构建的VPN解决方案,而不是自己尝试这样做。高端家庭路由器通常带有内置的VPN...
...以外的地方,你实际上正在使用互联网。在我们深入研究如何配置路由器以使用VPN网络之前,让我们先来看看什么是VPN以及人们为什么要使用VPN的速成课程(有一些有用的链接,可以链接到以前的how to Geek文章,以供进一步阅读...
...,这些基于Linux的开源项目可能不会包括业余的后门。 如何安装第三方路由器固件 相关:把你的家庭路由器变成一个超级电源路由器与DD-WRT 如果要使用第三方路由器固件,首先需要选择要使用的固件。OpenWrt是一个功能强大的...
...放地访问你的整个局域网。请继续阅读,我们将向您展示如何为双ssid设置路由器,并为您的客人创建一个单独的(安全的)访问点。 我为什么要这么做? 想要将家庭网络设置为具有双接入点(AP)有几个非常实际的原因。 对...