我們已經向您展示瞭如何透過路由器上的“埠敲門”遠端觸發WOL。在本文中,我們將展示如何使用它來保護VPN服務。
Aviad Raviv&;bfick提供的圖片。
如果您使用過DD-WRT的VPN內建功能,或者在您的網路中有另一個VPN伺服器,那麼您可能會欣賞透過將其隱藏在敲打序列後面來保護其免受暴力攻擊的能力。透過這樣做,您將過濾掉試圖訪問您的網路的指令碼小子。如上所述,正如前一篇文章中所述,埠敲門並不能取代良好的密碼和/或安全策略。請記住,只要有足夠的耐心,攻擊者就可以發現序列並執行重播攻擊。還有請記住,實現這一點的缺點是,當任何VPN客戶端想要連線時,它們必須事先觸發敲打序列,如果它們由於任何原因無法完成該序列,他們根本無法使用VPN。
為了保護VPN服務,我們將首先透過阻塞1723的例項化埠來禁用所有可能的通訊。為了實現這個目標,我們將使用iptables。這是因為,在大多數現代Linux/GNU發行版上,尤其是在DD-WRT上,通訊就是這樣被過濾的。如果您想了解iptables的更多資訊,請檢視它的wiki條目,並檢視我們之前關於這個主題的文章。一旦服務受到保護,我們將建立一個敲打序列,該序列將臨時開啟VPN例項化埠,並在配置的時間後自動關閉它,同時保持已建立的VPN會話連線。
注意:在本指南中,我們以pptpvpn服務為例。也就是說,同樣的方法也可以用於其他VPN型別,您只需更改被阻止的埠和/或通訊型別。
我們開始吧。
DD-WRT上的預設“阻止新VPN”規則
雖然下面的“程式碼”片段可能適用於每一個使用Linux/GNU發行版的、自尊的iptables,但因為有太多的變體,我們將只展示如何在DD-WRT上使用它。如果您願意,沒有什麼可以阻止您直接在VPN盒上實現它。然而,如何做到這一點,超出了本指南的範圍。
因為我們想增強路由器的防火牆,所以新增到“防火牆”指令碼是合乎邏輯的。這樣做,將導致每次重新整理防火牆時都執行iptables命令,從而使我們的增強功能保持不變。
從DD-WRT的Web GUI:
inline="$( iptables -L INPUT -n | grep -n "state RELATED,ESTABLISHED" | awk -F : {'print $1'} )"; inline=$(($inline-2+1)); iptables -I INPUT "$inline" -p tcp --dport 1723 -j DROP
What is this “Voodoo” command?
The above “voodoo magic” command does the following:
KnockD configuration
We need to create a new triggering sequence that will enable new VPN connecti*** to be created. To do this, edit the knockd.conf file by issuing in a terminal:
vi /opt/etc/knockd.conf
Append to the existing configuration:
[enable-VPN] sequence = 02,02,02,01,01,01,2010,2010,2010 seq_timeout = 60 start_command = iptables -I INPUT 1 -s %IP% -p tcp --dport 1723 -j ACCEPT cmd_timeout = 20 stop_command = iptables -D INPUT -s %IP% -p tcp --dport 1723 -j ACCEPT
This configuration will:
That’s it, your VPN service should now be connectable only after a successful “knock”.
Author‘s tips
While you should be all set, there are a couple of points that i feel need mentioning.
Note: In order to do this, you will need to get Email functionality on your router, which currently there really isn’t one that works because the SVN snapshot of OpenWRT’s opkg packages is in disarray. That is why I suggest using knockd directly on the VPN box which enables you to use all the opti*** of sending email that are available in Linux/GNU, like SSMTP and sendEmail to mention a few.
誰擾亂了我的睡眠?
...路收音機的選擇,這仍然是一個偉大的專案。它讓您瞭解如何安裝自定義韌體,以及如何欣賞流媒體音樂。 ...
... 不管你對電腦的經驗如何,你可能對Wi-Fi的安全性有所瞭解。你會知道你的Wi-Fi網路有一個很長的密碼,密碼中有標點符號和數字。您甚至可能偶然發現了對其他人隱藏網路名稱的設定。您已...
在公共場合如何保證資料的安全?您是否連線到公共Wi-Fi訊號?你查過網上銀行嗎?敏感工作或商業檔案如何? ...
...使用者享受無限頻寬,它使用的是256位AES標準。這意味著您的資料從頭到尾都受到資料包嗅探器的保護。聽說過使用公共Wi-Fi是危險和不安全的嗎?安裝一個像ipvash這樣的VPN客戶端,就可以解決這個問題。 ...
...有幾種不同的方法來設定VPN。在本文中,我們將向您展示如何以幾種不同的方式設定VPN,有些簡單,有些更復雜。 ...
考慮使用VPN嗎?也許你已經註冊了,但不確定如何正確使用它。你甚至可能已經在使用VPN了,但是你不知道如何在其他裝置上使用它。 ...
...自己的軟體來簡化這一點,但您並不真正需要它。請檢視如何在Windows 10上安裝VPN。 ...