你有没有想过用你的路由器来“敲宿舍门”这样一种特殊的方式，只在你的路由器被发现的时候才“开门”呢？howtogeek解释了如何在DD-WRT上安装敲打守护进程。

Bfick和Aviad Raviv的图片

如果您还没有，请确定并查看本系列中以前的文章：

• 使用DD-WRT将您的家庭路由器变成超级强大的路由器
• 如何在家庭路由器上安装附加软件（DD-WRT）
• 如何在DD-WRT上用Pixelserv删除广告

假设你熟悉这些主题，继续阅读。请记住，这本指南是一个多一点技术，初学者应该小心时，修改他们的路由器。

概述

传统上，为了能够与设备/服务进行通信，必须与之建立完整的网络连接。然而，这样做暴露了在安全时代所谓的攻击表面。Knock守护进程是一种网络嗅探器，它可以在观察到预先配置的序列时做出反应。由于不必为了敲打守护进程识别配置的序列而建立连接，因此在保持所需功能的同时减少了攻击面。在某种意义上，我们将用所需的“两位”响应对路由器进行预处理（不像可怜的罗杰…）。

在本文中，我们将：

• 演示如何使用Knockd使路由器在局域网上唤醒本地网络上的计算机。
• 演示如何从Android应用程序以及计算机触发敲打序列。

注意：虽然安装说明不再相关，但您可以观看我创建的电影系列“way back when”，以了解配置到敲门的整个过程。（请原谅粗俗的陈述）。

安全影响

关于“敲门有多安全”的讨论？“，很长，可以追溯到几千年前（互联网年），但底线是：

敲打是一种隐晦的安全层，它只应用于增强加密等其他手段，而不应单独作为一种最终的安全措施。

前提条件、假设和建议

• 假设您有一个支持Opkg的DD-WRT路由器。
• 一些耐心，因为这可能需要“一段时间”来设置。
• 强烈建议您为外部（通常是动态）IP获取DDNS帐户。

我们开始吧

安装和基本配置

通过打开路由器的终端并发出以下命令来安装敲门守护程序：

opkg update ; opkg install knockd

现在安装了Knockd，我们需要配置触发序列和触发后将执行的命令。为此，请打开“敲打d.conf“文本编辑器中的文件。在路由器上，这将是：

vi /opt/etc/knockd.conf

使其内容看起来像：

[opti***] logfile = /var/log/knockd.log UseSyslog

[wakelaptop] sequence = 56,56,56,43,43,43,1443,1443,1443 seq_timeout = 30 command = /usr/**in/wol aa:bb:cc:dd:ee:22 -i $( nvram get lan_ipaddr | cut -d . -f 1,2,3 ).255 tcpflags = sync

让我们来解释一下以上内容：

• “opti***”段允许为守护进程配置全局参数。在本例中，我们已指示守护进程在syslog和文件中保留日志。同时使用这两个选项并没有坏处，但您应该考虑只保留其中一个。
• The “wakelaptop” segment, is an example of a sequence that will trigger the WOL command to your LAN for a computer with the MAC address of aa:bb:cc:dd:ee:22. Note: The command above, assumes  the default behavior of having a class C subnet. 

要添加更多序列，只需复制并粘贴“wakelaptop”段，并使用路由器要执行的新参数和/或命令进行调整。

启动

要让路由器在启动时调用守护进程，请将以下内容附加到OPKG指南中的“geek init”脚本中：

knockd -d -c /opt/etc/knockd.conf -i "$( nvram get wan_ifname )"

这将启动路由器“WAN”接口上的敲打守护进程，以便它侦听来自internet的数据包。

来自android的敲门声

在可移植的时代，“有一个应用程序”几乎是必不可少的……所以StavFX为这个任务创建了一个：）这个应用程序可以从你的Android设备上执行敲击序列，并且它支持在你的主屏幕上创建小部件。

• 安装来自Android market的Knocker应用程序（也请友好，给它一个好的评级）。
• 安装到设备上后，启动它。你应该有这样的问候：
• 您可以长按示例图标进行编辑，或单击“菜单”添加新条目。新条目如下所示：
• 添加行并填写敲门所需的信息。对于上面的示例WOL配置，这将是：
• 长按敲打名称旁边的图标可以选择更改图标。
• 别敲了。
• 轻触主屏幕中的新爆震按钮即可激活它。
• 可以选择在主屏幕上为它创建一个小部件。

请记住，虽然我们已经为示例配置文件配置了每个端口3个组（由于下面的Telnet部分），但是对于这个应用程序，对每个端口的重复次数（如果有的话）没有限制港口。有吗使用StavFX捐赠的应用程序的乐趣：-）

来自Windows/Linux

虽然可以使用最简单的网络实用程序（又称“Telnet”）来执行敲打，但微软已经认定Telnet存在“安全风险”，因此默认情况下不再在现代windows上安装。如果你问我“那些为了暂时的安全而放弃基本自由的人，既不应该得到自由，也不应该得到安全。~z~本杰明·富兰克林，“但我离题了。

我们将示例序列设置为每个端口3个组的原因是，当telnet无法连接到所需的端口时，它将自动再重试2次。这意味着telnet在放弃之前会敲3下。所以我们所要做的就是对端口组中的每个端口执行一次telnet命令。这也是选择30秒超时间隔的原因，因为我们必须等待每个端口的telnet超时，直到执行下一个端口组。建议在完成测试阶段后，使用一个简单的批处理/Bash脚本自动执行此过程。

使用我们的示例序列，这看起来像：

• 如果在windows上安装，请按照MS说明安装Telnet。
• Drop to a command line and issue: telnet geek.dyndns-at-home.com 56 telnet geek.dyndns-at-home.com 43 telnet geek.dyndns-at-home.com 1443

如果一切顺利的话，就应该这样了。

故障排除

如果您的路由器对序列没有反应，以下是您可以采取的几个故障排除步骤：

• View the log – Knockd will keep a log you can view in real time to see if the knocking sequences have arrived to the daemon and if the command has been executed correctly. Assuming you are at least using the log-file as in the example above, to see it in real-time, issue in a terminal:

  tail -f /var/log/knockd.log

• 注意防火墙——有时你的ISP、工作场所或网吧会冒昧地阻止你的通信。在这种情况下，当您的路由器可能正在侦听时，被链的任何部分阻塞的端口上的敲门将不会到达路由器，并且它将很难对它们做出反应。这就是为什么在尝试更多随机端口之前，建议尝试使用已知端口（如80、443、3389等）的组合。同样，您可以查看日志以查看哪些端口到达路由器的WAN接口。
• Try the sequences internally –  Before involving the above complexity that other parts of the chain may introduce, it is recommended that you try to execute the sequences internally to see that they A. hit the router like you think they should B. execute the command/s as expected. To accomplish this, you may start Knockd while bound to your LAN interface with:

  knockd -d -i "$( nvram get lan_ifnameq )" -c /opt/etc/knockd.conf

  Once the above is executed, you can direct the Knocking client to the router’s internal IP instead of its external one. Tip: Because knockd listens at the “interface” level and not IP level, you may wish to have an instance of KnockD running on the LAN interface all the time. As “Knocker” has been updated to support two hosts for knocking, doing so will in order to simplify and c***olidate your knocking profiles.

• 记住你在哪一边–在上述配置中，不可能从LAN接口敲打WAN接口。如果你想无论“你的哪一边”都能敲门，你可以简单地运行恶魔两次，一次绑定到WAN（如本文所述），一次绑定到LAN（如上面的调试步骤所示）。只要将上面的命令附加到同一个geek init脚本中，就可以同时运行这两个脚本。

评论

While the above example could be accomplished by various other methods, we hope that you can use it to learn how to accomplish more advance things.

A part two to this article that hides the VPN service behind a knock is coming, so stay tuned.

通过敲门，您将能够：动态打开端口，禁用/启用服务，远程WOL计算机和更多…