你有沒有想過用你的路由器來“敲宿舍門”這樣一種特殊的方式，只在你的路由器被發現的時候才“開門”呢？howtogeek解釋瞭如何在DD-WRT上安裝敲打守護程序。

Bfick和Aviad Raviv的圖片

如果您還沒有，請確定並檢視本系列中以前的文章：

• 使用DD-WRT將您的家庭路由器變成超級強大的路由器
• 如何在家庭路由器上安裝附加軟體（DD-WRT）
• 如何在DD-WRT上用Pixelserv刪除廣告

假設你熟悉這些主題，繼續閱讀。請記住，這本指南是一個多一點技術，初學者應該小心時，修改他們的路由器。

概述

傳統上，為了能夠與裝置/服務進行通訊，必須與之建立完整的網路連線。然而，這樣做暴露了在安全時代所謂的攻擊表面。Knock守護程序是一種網路嗅探器，它可以在觀察到預先配置的序列時做出反應。由於不必為了敲打守護程序識別配置的序列而建立連線，因此在保持所需功能的同時減少了攻擊面。在某種意義上，我們將用所需的“兩位”響應對路由器進行預處理（不像可憐的羅傑…）。

在本文中，我們將：

• 演示如何使用Knockd使路由器在區域網上喚醒本地網路上的計算機。
• 演示如何從Android應用程式以及計算機觸發敲打序列。

注意：雖然安裝說明不再相關，但您可以觀看我建立的電影系列“way back when”，以瞭解配置到敲門的整個過程。（請原諒粗俗的陳述）。

安全影響

關於“敲門有多安全”的討論？“，很長，可以追溯到幾千年前（網際網路年），但底線是：

敲打是一種隱晦的安全層，它只應用於增強加密等其他手段，而不應單獨作為一種最終的安全措施。

前提條件、假設和建議

• 假設您有一個支援Opkg的DD-WRT路由器。
• 一些耐心，因為這可能需要“一段時間”來設定。
• 強烈建議您為外部（通常是動態）IP獲取DDNS帳戶。

我們開始吧

安裝和基本配置

透過開啟路由器的終端併發出以下命令來安裝敲門守護程式：

opkg update ; opkg install knockd

現在安裝了Knockd，我們需要配置觸發序列和觸發後將執行的命令。為此，請開啟“敲打d.conf“文字編輯器中的檔案。在路由器上，這將是：

vi /opt/etc/knockd.conf

使其內容看起來像：

[opti***] logfile = /var/log/knockd.log UseSyslog

[wakelaptop] sequence = 56,56,56,43,43,43,1443,1443,1443 seq_timeout = 30 command = /usr/**in/wol aa:bb:cc:dd:ee:22 -i $( nvram get lan_ipaddr | cut -d . -f 1,2,3 ).255 tcpflags = sync

讓我們來解釋一下以上內容：

• “opti***”段允許為守護程序配置全域性引數。在本例中，我們已指示守護程序在syslog和檔案中保留日誌。同時使用這兩個選項並沒有壞處，但您應該考慮只保留其中一個。
• The “wakelaptop” segment, is an example of a sequence that will trigger the WOL command to your LAN for a computer with the MAC address of aa:bb:cc:dd:ee:22. Note: The command above, assumes  the default behavior of having a class C subnet. 

要新增更多序列，只需複製並貼上“wakelaptop”段，並使用路由器要執行的新引數和/或命令進行調整。

啟動

要讓路由器在啟動時呼叫守護程序，請將以下內容附加到OPKG指南中的“geek init”指令碼中：

knockd -d -c /opt/etc/knockd.conf -i "$( nvram get wan_ifname )"

這將啟動路由器“WAN”介面上的敲打守護程序，以便它偵聽來自internet的資料包。

來自android的敲門聲

在可移植的時代，“有一個應用程式”幾乎是必不可少的……所以StavFX為這個任務建立了一個：）這個應用程式可以從你的Android裝置上執行敲擊序列，並且它支援在你的主螢幕上建立小部件。

• 安裝來自Android market的Knocker應用程式（也請友好，給它一個好的評級）。
• 安裝到裝置上後，啟動它。你應該有這樣的問候：
• 您可以長按示例圖示進行編輯，或單擊“選單”新增新條目。新條目如下所示：
• 新增行並填寫敲門所需的資訊。對於上面的示例WOL配置，這將是：
• 長按敲打名稱旁邊的圖示可以選擇更改圖示。
• 別敲了。
• 輕觸主螢幕中的新爆震按鈕即可啟用它。
• 可以選擇在主螢幕上為它建立一個小部件。

請記住，雖然我們已經為示例配置檔案配置了每個埠3個組（由於下面的Telnet部分），但是對於這個應用程式，對每個埠的重複次數（如果有的話）沒有限制港口。有嗎使用StavFX捐贈的應用程式的樂趣：-）

來自Windows/Linux

雖然可以使用最簡單的網路實用程式（又稱“Telnet”）來執行敲打，但微軟已經認定Telnet存在“安全風險”，因此預設情況下不再在現代windows上安裝。如果你問我“那些為了暫時的安全而放棄基本自由的人，既不應該得到自由，也不應該得到安全。~z~本傑明·富蘭克林，“但我離題了。

我們將示例序列設定為每個埠3個組的原因是，當telnet無法連線到所需的埠時，它將自動再重試2次。這意味著telnet在放棄之前會敲3下。所以我們所要做的就是對埠組中的每個埠執行一次telnet命令。這也是選擇30秒超時間隔的原因，因為我們必須等待每個埠的telnet超時，直到執行下一個埠組。建議在完成測試階段後，使用一個簡單的批處理/Bash指令碼自動執行此過程。

使用我們的示例序列，這看起來像：

• 如果在windows上安裝，請按照MS說明安裝Telnet。
• Drop to a command line and issue: telnet geek.dyndns-at-home.com 56 telnet geek.dyndns-at-home.com 43 telnet geek.dyndns-at-home.com 1443

如果一切順利的話，就應該這樣了。

故障排除

如果您的路由器對序列沒有反應，以下是您可以採取的幾個故障排除步驟：

• View the log – Knockd will keep a log you can view in real time to see if the knocking sequences have arrived to the daemon and if the command has been executed correctly. Assuming you are at least using the log-file as in the example above, to see it in real-time, issue in a terminal:

  tail -f /var/log/knockd.log

• 注意防火牆——有時你的ISP、工作場所或網咖會冒昧地阻止你的通訊。在這種情況下，當您的路由器可能正在偵聽時，被鏈的任何部分阻塞的埠上的敲門將不會到達路由器，並且它將很難對它們做出反應。這就是為什麼在嘗試更多隨機埠之前，建議嘗試使用已知埠（如80、443、3389等）的組合。同樣，您可以檢視日誌以檢視哪些埠到達路由器的WAN介面。
• Try the sequences internally –  Before involving the above complexity that other parts of the chain may introduce, it is recommended that you try to execute the sequences internally to see that they A. hit the router like you think they should B. execute the command/s as expected. To accomplish this, you may start Knockd while bound to your LAN interface with:

  knockd -d -i "$( nvram get lan_ifnameq )" -c /opt/etc/knockd.conf

  Once the above is executed, you can direct the Knocking client to the router’s internal IP instead of its external one. Tip: Because knockd listens at the “interface” level and not IP level, you may wish to have an instance of KnockD running on the LAN interface all the time. As “Knocker” has been updated to support two hosts for knocking, doing so will in order to simplify and c***olidate your knocking profiles.

• 記住你在哪一邊–在上述配置中，不可能從LAN介面敲打WAN介面。如果你想無論“你的哪一邊”都能敲門，你可以簡單地執行惡魔兩次，一次繫結到WAN（如本文所述），一次繫結到LAN（如上面的除錯步驟所示）。只要將上面的命令附加到同一個geek init指令碼中，就可以同時執行這兩個指令碼。

評論

While the above example could be accomplished by various other methods, we hope that you can use it to learn how to accomplish more advance things.

A part two to this article that hides the VPN service behind a knock is coming, so stay tuned.

透過敲門，您將能夠：動態開啟埠，禁用/啟用服務，遠端WOL計算機和更多…