knock & PF
Estranho não ter encontrado esse assunto nas minhas buscas. Por isso coloco aqui. Acredito que vai ser útil pra mais alguém.
Chovem resultados se você quiser implementar essa solução no Linux com Iptables. Logo não vou falar dela aqui e nem vou explicar o funcionamento do knock. Pra isso existe o nome querido amigo Google. Google é uma velha expressão usada no interior da África que quer dizer: Pau pra toda obra!
heuahea não sei de onde eu tirei a bobagem acima! :-)
A instalação é feita normalmente através do ports.
Chovem resultados se você quiser implementar essa solução no Linux com Iptables. Logo não vou falar dela aqui e nem vou explicar o funcionamento do knock. Pra isso existe o nome querido amigo Google. Google é uma velha expressão usada no interior da África que quer dizer: Pau pra toda obra!
heuahea não sei de onde eu tirei a bobagem acima! :-)
A instalação é feita normalmente através do ports.
No linux é usado o comando "iptables -A" para criar a regra de acesso no momento em que o camarada acerta as batidas para entrar. Porém pra fazer a mesma coisa no FreeBSD utilizando PF seria necessária um pequena enjambraçãozinha. Prefire partir por um caminho mais fácil.
Criei uma tabela qualquer:
Criei uma tabela qualquer:
table <knock>
E na seção de filtros criei uma regra liberando os endereços dessa tabela para acessar o SSH.
pass in on $ext_if proto tcp from <knock> to $ext_ip port 22 keep state
Bom, a tabela está vazia mas pode ser alterada usando o comando pfctl. Para isso o arquivo knock.conf ficou com os seguintes parâmetros command:
command = /sbin/pfctl -t knock -T add %IP%
O comando acima obviamente adiciona o IP do ser humano a tabela knock.
command = /sbin/pfctl -t knock -T delete %IP%
E o comando acima mais do que obviamente remove esse IP da tabela knock.
Caso tenha preguiça de executar a seqüencia para remover o IP, é o meu caso, crie uma entrada no crontab algo assim:
#Limpar tabela knock
0 3 * * * root pfctl -t knock -T flush 2>&1
Todo dia as 3 da manhã ele limpa a tabela knock e não preciso me preocupar.
É simples. Talvez seja esse o motivo de não ter encontrado nada a respeito. Se bem que em linux também é fácil e tem um monte de artigos sobre isso... bom.. vai saber..
Algo que me deixou um pouco triste foi que deve ser escolhida a interface ao invés do IP ao qual fazer o bind. Comento a minha tristeza pois tenho mais de um IP na mesma interface. Aí não é possível escolher qual IP será usado.
É simples. Talvez seja esse o motivo de não ter encontrado nada a respeito. Se bem que em linux também é fácil e tem um monte de artigos sobre isso... bom.. vai saber..
Algo que me deixou um pouco triste foi que deve ser escolhida a interface ao invés do IP ao qual fazer o bind. Comento a minha tristeza pois tenho mais de um IP na mesma interface. Aí não é possível escolher qual IP será usado.
0 Comentários:
Postar um comentário
<< Home