当一切都被防火墙锁定时,端口敲门是否是最后一次机会?

当一切都被防火墙锁定时,端口敲门是否是最后一次机会?

基于这个问题:Linux 上的“安全模式”?- 因此,服务器上配置了敲门,并且发出了错误的防火墙命令,因此每个人都通过第 3 层(iptables)被锁定在服务器之外。好的。

是否可以通过敲击端口来解决这个问题,就像敲门一样,然后敲门将打开给定的端口?这是否是通过第三层进入服务器的最后机会?

或者它不会工作,因为如果例如:knockd配置为使用端口5000并且端口5000在所有协议上被阻止,knockd将无法工作?是在网络过滤器“之前”被敲击的吗? (我的意思是互联网->KNOCKD->NETFILTER?)

答案1

是的,理论上knockd可以帮助您进入服务器。为此,knockd需要使用该libpcap库,该库与 Wireshark 使用的库相同。无论如何iptables配置,该库使用的原始套接字接口都可以查看所有传入数据包。

这在实践中是否对您有帮助取决于如何knockd配置以及防火墙如何(错误)配置。例如,假设您的规则集的开头有一条 DROP 规则,并且该 DROP 规则阻止您进入。如果knockd在链的开头添加其 ACCEPT 规则 ( iptables -I ...),那么它会让您进入。但是如果它在末尾添加它 ( iptables -A ...),那么你就不走运了。

另请注意,由于knockd通常配置为从正在运行的防火墙添加或删除规则,因此配置错误knockd本身可能会破坏您的防火墙。如果您将其用作knockd故障保护,则最好让它运行iptables-restore </path/to/known-good-firewall-config而不是iptables直接使用。您甚至可以同时执行这两种操作,为每个选项使用不同的敲击模式。

相关内容