Открыть список
Как стать автором
Обновить

Комментарии 9

Спасибо, хотел реализовать подобное.

P.S.
Пост прочитал бегло, поэтому вот:
для себя хотел сделать блокировку перечисленных портов извне, а если начать пинговать хитрым образом или ломиться на некий порт 2-3 раза (нужное количество раз), то необходимые порты откроются для IP инициатора.
Вот хочется спросить, можно ли такое сделать, не считаю теории, где можно сделать многое.
В первом примере это и реализовано, только через ICMP
Позанудствую.
Port knocking все таки.
Спасибо за статью.
Не перестаю удивлятся возможностям микротиков!
Так как статья выпадает первой по запросам в гугле типа «icmp port knocking микротик» считаю необходимым добавить следующее:
при использовании стандартного файерволла, в котором вверху присутствует правило

add action=accept chain=input comment=«defconf: accept established,related,untracked» connection-state=established,related,untracked

приведенные в статье примеры работать не будут. Причина — при прохождении первого icmp пакета стейтфул файервол микротика создает запись в Connections на 10 секунд. Соответственно, в течение этого времени icmp пакеты с сорс ip будут проходить файерволл по этому самому правилу, т.к. connection-state=established. До добавленных правил просто дело не доходит. И чтобы примеры заработали нужно или 11 секунд между пингами, чтобы запись в Connections удалилась (но это сильно растягивает время выполнения скрипта на клиенте), либо нужно добавить в первое правило исключение для icmp:

add action=accept chain=input comment=«defconf: accept established,related,untracked» connection-state=established,related,untracked protocol=!icmp

Почти 6 лет прошло.
Вы правы, но вы всегда должны самостоятельно для себя определить как вы должны использовать файрвол, кто-то вообще не включает Connection-tracker.
здесь же вселишь идея и её реализация, без каких либо уточнений.

Кирилл, для Вас, как для гуру (это без сарказма) конечно же всё и так понятно. Я же Вас подправил не подколки ради, а лишь потому что статья действительно появляется в выдаче по указанным ключевым словам одной из первых. А кто чаще всего читает статьи по выдаче? Правильно, новички. Не имеющие Вашего опыта. Начинающие настройку не с blank, как Вы, а с default. Даже, возможно, пока не знающие, что такое conntrack и где его включать/выключать. Тема кнокинга всё чаще востребована в связи с нарастанием агрессивности интернета как среды. А раз статья так высоко в выдаче — полагаю, будет дальновидно её актуализировать. Например, с учетом оптимизации производительности (так хорошо раскрытой Вами на московском MUM2018): вынести обработку кнокинга в отдельную цепочку, в правилах внутри которой отключить проверки на протокол, оставить только размер пакетов и/или пайлоад. И т.д. Еще раз — мой респект вашему опыту и компетенции.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.