你有没有想过用你的路由器来“敲宿舍门”这样一种特殊的方式,只在你的路由器被发现的时候才“开门”呢?howtogeek解释了如何在DD-WRT上安装敲打守护进程。
Bfick和Aviad Raviv的图片
如果您还没有,请确定并查看本系列中以前的文章:
假设你熟悉这些主题,继续阅读。请记住,这本指南是一个多一点技术,初学者应该小心时,修改他们的路由器。
传统上,为了能够与设备/服务进行通信,必须与之建立完整的网络连接。然而,这样做暴露了在安全时代所谓的攻击表面。Knock守护进程是一种网络嗅探器,它可以在观察到预先配置的序列时做出反应。由于不必为了敲打守护进程识别配置的序列而建立连接,因此在保持所需功能的同时减少了攻击面。在某种意义上,我们将用所需的“两位”响应对路由器进行预处理(不像可怜的罗杰…)。
在本文中,我们将:
注意:虽然安装说明不再相关,但您可以观看我创建的电影系列“way back when”,以了解配置到敲门的整个过程。(请原谅粗俗的陈述)。
关于“敲门有多安全”的讨论?“,很长,可以追溯到几千年前(互联网年),但底线是:
敲打是一种隐晦的安全层,它只应用于增强加密等其他手段,而不应单独作为一种最终的安全措施。
安装和基本配置
通过打开路由器的终端并发出以下命令来安装敲门守护程序:
opkg update ; opkg install knockd
现在安装了Knockd,我们需要配置触发序列和触发后将执行的命令。为此,请打开“敲打d.conf“文本编辑器中的文件。在路由器上,这将是:
vi /opt/etc/knockd.conf
使其内容看起来像:
[opti***] logfile = /var/log/knockd.log UseSyslog
[wakelaptop] sequence = 56,56,56,43,43,43,1443,1443,1443 seq_timeout = 30 command = /usr/**in/wol aa:bb:cc:dd:ee:22 -i $( nvram get lan_ipaddr | cut -d . -f 1,2,3 ).255 tcpflags = sync
让我们来解释一下以上内容:
要添加更多序列,只需复制并粘贴“wakelaptop”段,并使用路由器要执行的新参数和/或命令进行调整。
要让路由器在启动时调用守护进程,请将以下内容附加到OPKG指南中的“geek init”脚本中:
knockd -d -c /opt/etc/knockd.conf -i "$( nvram get wan_ifname )"
这将启动路由器“WAN”接口上的敲打守护进程,以便它侦听来自internet的数据包。
在可移植的时代,“有一个应用程序”几乎是必不可少的……所以StavFX为这个任务创建了一个:)这个应用程序可以从你的Android设备上执行敲击序列,并且它支持在你的主屏幕上创建小部件。
请记住,虽然我们已经为示例配置文件配置了每个端口3个组(由于下面的Telnet部分),但是对于这个应用程序,对每个端口的重复次数(如果有的话)没有限制港口。有吗使用StavFX捐赠的应用程序的乐趣:-)
来自Windows/Linux
虽然可以使用最简单的网络实用程序(又称“Telnet”)来执行敲打,但微软已经认定Telnet存在“安全风险”,因此默认情况下不再在现代windows上安装。如果你问我“那些为了暂时的安全而放弃基本自由的人,既不应该得到自由,也不应该得到安全。~z~本杰明·富兰克林,“但我离题了。
我们将示例序列设置为每个端口3个组的原因是,当telnet无法连接到所需的端口时,它将自动再重试2次。这意味着telnet在放弃之前会敲3下。所以我们所要做的就是对端口组中的每个端口执行一次telnet命令。这也是选择30秒超时间隔的原因,因为我们必须等待每个端口的telnet超时,直到执行下一个端口组。建议在完成测试阶段后,使用一个简单的批处理/Bash脚本自动执行此过程。
使用我们的示例序列,这看起来像:
如果一切顺利的话,就应该这样了。
故障排除
如果您的路由器对序列没有反应,以下是您可以采取的几个故障排除步骤:
tail -f /var/log/knockd.log
knockd -d -i "$( nvram get lan_ifnameq )" -c /opt/etc/knockd.conf
Once the above is executed, you can direct the Knocking client to the router’s internal IP instead of its external one. Tip: Because knockd listens at the “interface” level and not IP level, you may wish to have an instance of KnockD running on the LAN interface all the time. As “Knocker” has been updated to support two hosts for knocking, doing so will in order to simplify and c***olidate your knocking profiles.
While the above example could be accomplished by various other methods, we hope that you can use it to learn how to accomplish more advance things.
A part two to this article that hides the VPN service behind a knock is coming, so stay tuned.
通过敲门,您将能够:动态打开端口,禁用/启用服务,远程WOL计算机和更多…
...中之一。 监视路由器上的带宽和数据使用情况 相关:如何在路由器上使用自定义固件,以及为什么您可能希望 最准确的监控方法是在路由器上。网络上的所有设备都通过路由器连接到Internet,因此这是可以监视和记录带宽使...
...以外的地方,你实际上正在使用互联网。在我们深入研究如何配置路由器以使用VPN网络之前,让我们先来看看什么是VPN以及人们为什么要使用VPN的速成课程(有一些有用的链接,可以链接到以前的how to Geek文章,以供进一步阅读...
DHCP使得为家庭网络配置网络访问变得简单,而端口转发使得从任何地方访问这些计算机变得容易。通过在路由器上配置静态DHCP,您可以将两者结合起来。 dhcp和端口转发的问题 DHCP很棒。你把路由器配置成自动分配IP地址,你...
...,这些基于Linux的开源项目可能不会包括业余的后门。 如何安装第三方路由器固件 相关:把你的家庭路由器变成一个超级电源路由器与DD-WRT 如果要使用第三方路由器固件,首先需要选择要使用的固件。OpenWrt是一个功能强大的...
...放地访问你的整个局域网。请继续阅读,我们将向您展示如何为双ssid设置路由器,并为您的客人创建一个单独的(安全的)访问点。 我为什么要这么做? 想要将家庭网络设置为具有双接入点(AP)有几个非常实际的原因。 对...
我们已经向您展示了如何通过路由器上的“端口敲门”远程触发WOL。在本文中,我们将展示如何使用它来保护VPN服务。 Aviad Raviv&bfick提供的图片。 前言 如果您使用过DD-WRT的VPN内置功能,或者在您的网络中有另一个VPN服...
...系统日志,这些事件只会出现在你的眼前?How To Geek进入如何设置系统日志收集器。 概述 Syslog用于各种服务器/设备,向系统管理员提供系统信息。它的维基条目: Syslog is a standard for computer data logging. It allows separation of the soft...
...章: 使用DD-WRT将您的家庭路由器变成超级强大的路由器 如何在家庭路由器上安装附加软件(DD-WRT) 如何在DD-WRT上用Pixelserv删除广告 假设你熟悉这些主题,继续阅读。请记住,这本指南是一个多一点技术,初学者应该小心时,...
如果你的无线信号无法到达,那么就跟着我们向你展示如何使用带有番茄固件的路由器来扩展无线网络。 去年我们向您展示了如何使用DD-WRT供电的路由器扩展您的网络。从那以后,有几位读者来信询问他们如何能用番茄路由器...
我们已经向您展示了如何静态设置网络上的IP,现在让我们翻转DNS开关以增加优雅性和易用性。今天的指南将向您展示如何使用启用DD-WRT的路由器上的DNS名称访问您的计算机。 图片作者:Henk L 前言 关于如何在DD-WRT路由器指南...