pibi
03.09.14, 20:17
Hallo zusammen
Hin und wieder ist es noetig, dass ich von fremden Rechnern auf meine Server zuhause zugreifen kann. Bisher waren diese Connections an einer Hand abzaehlbar, so dass ich diese als Ausnahmen fest in meine Firewall eingetragen habe. Nun kommen aber zusaetzlich andere (dynamische) IPs dazu, so dass ich eine andere Moeglichkeit brauche. Eine brauchbare Moeglichkeit dazu scheint mir "port knocking" zu sein.
Ich nutze die openSuSI 13.1 und habe dazu das Paket "knock" respektive "knockd" heruntergeladen und rudimentaer konfiguriert gemaess Doku. Auf dem Zielserver habe ich "knockd" gestartet.
[options]
UseSyslog
logfile = /var/log/knockd.log
interface = enp5s0
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 60
command = /usr/sbin/iptables -A INPUT -s %IP% -j ACCEPTVon meinem zweiten Server versuche ich nun auf den ersten zu "knocken".
knock --verbose myname.darktech.org 7000 8000 9000
hitting tcp a.b.217.197:7000
hitting tcp a.b.217.197:8000
hitting tcp a.b.217.197:9000Ich sehe aber weder einen (geblockten) Connectversuch im Firewall-Log des Zielrechners noch eine Aenderung in dessen iptables-Rules. Logischerweise kann ich daher auch keine ssh-Verbindung aufbauen. Was habe ich uebersehen? Wo liegt mein Denkfehler?
Gruss Pit.
Hin und wieder ist es noetig, dass ich von fremden Rechnern auf meine Server zuhause zugreifen kann. Bisher waren diese Connections an einer Hand abzaehlbar, so dass ich diese als Ausnahmen fest in meine Firewall eingetragen habe. Nun kommen aber zusaetzlich andere (dynamische) IPs dazu, so dass ich eine andere Moeglichkeit brauche. Eine brauchbare Moeglichkeit dazu scheint mir "port knocking" zu sein.
Ich nutze die openSuSI 13.1 und habe dazu das Paket "knock" respektive "knockd" heruntergeladen und rudimentaer konfiguriert gemaess Doku. Auf dem Zielserver habe ich "knockd" gestartet.
[options]
UseSyslog
logfile = /var/log/knockd.log
interface = enp5s0
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 60
command = /usr/sbin/iptables -A INPUT -s %IP% -j ACCEPTVon meinem zweiten Server versuche ich nun auf den ersten zu "knocken".
knock --verbose myname.darktech.org 7000 8000 9000
hitting tcp a.b.217.197:7000
hitting tcp a.b.217.197:8000
hitting tcp a.b.217.197:9000Ich sehe aber weder einen (geblockten) Connectversuch im Firewall-Log des Zielrechners noch eine Aenderung in dessen iptables-Rules. Logischerweise kann ich daher auch keine ssh-Verbindung aufbauen. Was habe ich uebersehen? Wo liegt mein Denkfehler?
Gruss Pit.