Комментарии 9
Спасибо, хотел реализовать подобное.
P.S.
Пост прочитал бегло, поэтому вот:
для себя хотел сделать блокировку перечисленных портов извне, а если начать пинговать хитрым образом или ломиться на некий порт 2-3 раза (нужное количество раз), то необходимые порты откроются для IP инициатора.
Вот хочется спросить, можно ли такое сделать, не считаю теории, где можно сделать многое.
P.S.
Пост прочитал бегло, поэтому вот:
для себя хотел сделать блокировку перечисленных портов извне, а если начать пинговать хитрым образом или ломиться на некий порт 2-3 раза (нужное количество раз), то необходимые порты откроются для IP инициатора.
Вот хочется спросить, можно ли такое сделать, не считаю теории, где можно сделать многое.
В первом примере это и реализовано, только через ICMP
Позанудствую.
Port knocking все таки.
Port knocking все таки.
Спасибо поправил
Спасибо за статью.
Не перестаю удивлятся возможностям микротиков!
Не перестаю удивлятся возможностям микротиков!
Так как статья выпадает первой по запросам в гугле типа «icmp port knocking микротик» считаю необходимым добавить следующее:
при использовании стандартного файерволла, в котором вверху присутствует правило
add action=accept chain=input comment=«defconf: accept established,related,untracked» connection-state=established,related,untracked
приведенные в статье примеры работать не будут. Причина — при прохождении первого icmp пакета стейтфул файервол микротика создает запись в Connections на 10 секунд. Соответственно, в течение этого времени icmp пакеты с сорс ip будут проходить файерволл по этому самому правилу, т.к. connection-state=established. До добавленных правил просто дело не доходит. И чтобы примеры заработали нужно или 11 секунд между пингами, чтобы запись в Connections удалилась (но это сильно растягивает время выполнения скрипта на клиенте), либо нужно добавить в первое правило исключение для icmp:
add action=accept chain=input comment=«defconf: accept established,related,untracked» connection-state=established,related,untracked protocol=!icmp
при использовании стандартного файерволла, в котором вверху присутствует правило
add action=accept chain=input comment=«defconf: accept established,related,untracked» connection-state=established,related,untracked
приведенные в статье примеры работать не будут. Причина — при прохождении первого icmp пакета стейтфул файервол микротика создает запись в Connections на 10 секунд. Соответственно, в течение этого времени icmp пакеты с сорс ip будут проходить файерволл по этому самому правилу, т.к. connection-state=established. До добавленных правил просто дело не доходит. И чтобы примеры заработали нужно или 11 секунд между пингами, чтобы запись в Connections удалилась (но это сильно растягивает время выполнения скрипта на клиенте), либо нужно добавить в первое правило исключение для icmp:
add action=accept chain=input comment=«defconf: accept established,related,untracked» connection-state=established,related,untracked protocol=!icmp
Почти 6 лет прошло.
Вы правы, но вы всегда должны самостоятельно для себя определить как вы должны использовать файрвол, кто-то вообще не включает Connection-tracker.
здесь же вселишь идея и её реализация, без каких либо уточнений.
Кирилл, для Вас, как для гуру (это без сарказма) конечно же всё и так понятно. Я же Вас подправил не подколки ради, а лишь потому что статья действительно появляется в выдаче по указанным ключевым словам одной из первых. А кто чаще всего читает статьи по выдаче? Правильно, новички. Не имеющие Вашего опыта. Начинающие настройку не с blank, как Вы, а с default. Даже, возможно, пока не знающие, что такое conntrack и где его включать/выключать. Тема кнокинга всё чаще востребована в связи с нарастанием агрессивности интернета как среды. А раз статья так высоко в выдаче — полагаю, будет дальновидно её актуализировать. Например, с учетом оптимизации производительности (так хорошо раскрытой Вами на московском MUM2018): вынести обработку кнокинга в отдельную цепочку, в правилах внутри которой отключить проверки на протокол, оставить только размер пакетов и/или пайлоад. И т.д. Еще раз — мой респект вашему опыту и компетенции.
Так и я без претензий =)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
MikroTik + port knocking over ICMP