Форум русскоязычного сообщества Ubuntu


Автор Тема: knockd - не добавляется разрешающее правило  (Прочитано 579 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Ввысь

  • Автор темы
  • Активист
  • *
  • Сообщений: 376
    • Просмотр профиля
Здравствуйте.

Поставил knockd, настроил, стучу, в
cat /var/log/syslog
Nov 13 07:51:41 Ubuntu-16 knockd: 188.69.124.14: openSSH: Stage 1 - все Ок
но разрешающего правила в
iptables -L -vn
нет. Ну и соответственно не пускает, добавляю правило руками, все работает. В чем затыка?
Делал по разным инструкциям из сети, но в основном все они это копипаста. Не могу понять причину.

(Нажмите, чтобы показать/скрыть)
тут нашел похожую ситуацию, но как человек решил проблему так и не понял

Спасибо.
« Последнее редактирование: 13 Ноябрь 2017, 08:06:37 от Ввысь »

Оффлайн ALiEN175

  • Модератор форума
  • Старожил
  • *
  • Сообщений: 4325
  • Capture the truth
    • Просмотр профиля
Re: knockd - не добавляется разрешающее правило
« Ответ #1 : 13 Ноябрь 2017, 08:15:44 »
процитирую
Цитировать
В общем разобрался. Помогла замечательная утилита tcpdump.
Во первых «кнокать» надо с других машин :D
Во вторых юзать reload вместо restart. Именно reload заставляет перечитать файл конфигурации.
В третьих даже если политика iptables на входящие стоит DROP, то «кнок» все равно обработается и knockd выполнит команду.
В четвертых порты расшаривать не нужно в независимости от политики iptables.
Собственно 4 пункт упрощает жизнь, не дает информации об портах

Ввысь, где у вас "не срослось?"
ASUS P5K-C :: Intel Xeon E5450 :: 8 GB RAM :: Nvidia 8500GT :: XFCE
SAMSUNG N150 :: Intel Atom N450 :: 2 GB RAM :: Intel GMA3150 :: XFCE

Оффлайн Ввысь

  • Автор темы
  • Активист
  • *
  • Сообщений: 376
    • Просмотр профиля
Re: knockd - не добавляется разрешающее правило
« Ответ #2 : 13 Ноябрь 2017, 08:22:42 »
ALiEN175,
Во первых «кнокать» надо с других машин - не помогло, проверял с разных мест
Во вторых юзать reload вместо restart. Именно reload заставляет перечитать файл конфигурации. - не помогло, вообще никакой разницы не заметил
В третьих даже если политика iptables на входящие стоит DROP, то «кнок» все равно обработается и knockd выполнит команду. - не помогло - убирал вообще все правила, никаких изменений
В четвертых порты расшаривать не нужно в независимости от политики iptables. - не особо понял к чему это, но раз делать не нужно то и не стал рзбираться)

в tcpdump я вижу, что приходит стук, и в syslog пишет строку с ip, но правило не добавляется.


Оффлайн Ввысь

  • Автор темы
  • Активист
  • *
  • Сообщений: 376
    • Просмотр профиля
Re: knockd - не добавляется разрешающее правило
« Ответ #3 : 14 Ноябрь 2017, 12:05:00 »
Попробовал пойти другим путем, вместо правила в строку command вставить скрипт дополняющий необходимое правило
(Нажмите, чтобы показать/скрыть)
отсюда. Не помогло, руками запускаю скрипт, правило появляется, через knockd нет. В чем может быть причина?

Пользователь добавил сообщение 14 Ноябрь 2017, 15:38:16:
Разобрался.

Нельзя использовать в строке sequence один порт, нужно стучать в более чем один.
« Последнее редактирование: 14 Ноябрь 2017, 15:38:16 от Ввысь »

 

Страница сгенерирована за 0.131 секунд. Запросов: 23.