port knocking, knockd und die Firewall

[hustle]

Hi,

eigentlich soll der Sinn ja von Knock Daemon der sein, dass mir der Dienst den Port erst öffnet. Es sollten meiner Meinung nach dafür auch Ports ausreichen, die zu sind.

Klick

Port knocking is a method of establishing a connection to a networked computer that has no open ports. Before a connection is established, ports are opened using a port knock sequence, which is a series of connection attempts to closed ports. A remote host generates and sends an authentic knock sequence in order to manipulate the server's firewall rules to open one or more specific ports. These manipulations are mediated by a port knock daemon, running on the server, which monitors the firewall log file for connection attempts which can be translated into authentic knock sequences. Once the desired ports are opened, the remote host can establish a connection and begin a session. Another knock sequence may used to trigger the closing of the port.

Die Freigabe der Ports habe ich gestern abend schon über die AVM Firewall getätigt.
Hatte jedoch keine Abhilfe geschaffen.

 

[MaxMuster]

... hier geht es um eine Eigenart der Fritzbox: Wenn es kein Portforwarding für einen Port gibt, werden Pakete dafür nicht an den IP-Stack weitergegeben. Der knockd kann dann die Pakete nicht bekommen und nicht auswerten. Die Ports, die der knockd(!) selbst nutzen soll (die "Klopfports" sozusagen), müssten demnach im Portforwarding eingetragen werden, die anderen Dinge, die der knockd dann freischalten soll, macht er dann selbst...

Wie gesagt, nur Theorie, ich selbst nutze es nicht.


Jörg

 

[cuma]

Ich hab ne Weiterleitung für die klopf-Ports und die Dienste-Ports. In der rc.custom werden ALLE REJECTED. Beim richtigen Klopfen wird dann eine ACCEPT iptables-Regel INSERTED und später wieder DELETED

 

[cando]

Der trick ist doch der, dass die box 2 firewalls hat. die eine ist der dsld, der zum laden der regeln rebooten muss (er liest die aus der ar7.cfg) Dieser Teufel hat noch dazu eine unangenehme Angewohnheit alle Ports, die auf die Box zeigen von Haus aus zu ignorieren. Im Forum findet man Umwege um es doch hinzubekommen (IP 0.0.0.0).

Erst nach dem DSLD kommen die Pakete ans OS ran und können dort z.B durch netfilter/iptables regeln vom freetz "behandelt" werden. Iptables hat zudem die angenehme Angewohnheit, regeln per Kommandozeile zu akzeptieren und sofort wirksam zu machen, was für das Portknocking als Sesam-Öffne-Dich zum Intranet oder lokaler deamons auf der Box sehr von Vorteil ist.

Natürlich kann man mit klopf-klopf auch andere Sachen anstellen, die nichts mit einer Durchleitung von Traffic zu tun haben...

 

[bababong]

hej jungs ich hab gerade in einem anderen thema etwas zum thema ar7.cfg
gelesen, dort stand folgendes

nach der aenderung ar7cfgchanged in die console eintippen, damit die aenderungen uebernommen werden...

wenn das stimmt (kanns im moment nich testen da keine fritzbox), dann könnte man auch
auf die benutzung dieser riesen emulierten webseiten aufrufe verzichten
und das ganz elegeant mit ar7cfgchanged erledigen oder?
man müsste nur n kleines script schreiben das die gewünschte regel
kommentiert bzw entkommentiert

 

[Darkyputz]

Hallo!

Hast du dir den Spass mal gegönnt und hast dir angeschaut was da drin steht?

cat /bin/ar7cfgchanged
#!/bin/sh

exec /etc/init.d/rc.net reload

und da wiederum steht drin:

   reload )
      # NOTE: on the SL (8MB RAM) this is not used!
      # The ctlmgr stops and starts the processes by itself!

      if [ "$1" ] ; then
         AVMDAEMONS="$*"
      elif [ "$CONFIG_DSL" ] ; then
         AVMDAEMONS="avmike dsld igdd multid"
      else
         AVMDAEMONS="igdd multid"
      fi

      # stop the daemon with -s
      for i in $AVMDAEMONS ; do
         # before terminating dsld, unregister sip first
         if [ $i = "dsld" ] ; then
            if [ "$CONFIG_FON" = y ] ; then
               voipd -U
               sleep 2
            fi
         fi
         if [ $i = "dsld-notify" ] ; then
            eval dsld -I
            sleep 2
         fi
      done

      # we usr forced even if watchdog active cause we startall aferwards
      termavmforcedwait 5 $AVMDAEMONS

      startall
      ;;

 

[bababong]

alles klar xD
war wohl nix, wie gesagt hab gerade keine fritzbox zum testen
dann is das natürlich weniger toll
schade eigentlich

 

[Darkyputz]

Den Trick wie AVM das macht suchen wir alle...hatte ja hoffnung das es mit diesem STR_PRINTK Logging zu sehen wäre...aber ich hatte noch keine zeit dafür...vieleicht kann das ja acuh jemand mal versuchen und dann be- oder entkräften...

 

[vice_pres]

Hi,

Ich hab das Thema nochmal rausgekramt... Was muss ich bei IPTables im Unstable Bereich auswählen?
Benötige ich die Kernel Module und die shared libaries?

Gruß

Peter

 

[olistudent]

Ja, man benötigt immer beides.

MfG Oliver