Тем, кому надо обеспечить себе, любимому, доступ к своим серверам из любой точки мира по SSH/RDP/иное — небольшое RTFM/шпора.

Нам нужно обойтись без VPN и других наворотов, с любого устройства под руками.

И так, чтобы с сервером не слишком упражняться.

Всё, что для этого нужно — knockd ^[1], прямые руки и 5 минут работы.

"В интернете всё есть", конечно (даже на Хабре ^[2]), но когда дело доходит до конкретной реализации — тут и начинается...

Будем упражняться на примере Fedora/CentOS, но это неважно.

Шпора подойдет как новичкам, так и зубрам этого дела, поэтому будут комментарии, но покороче.

1. Сервер

• ставим knock-server:
  yum/dnf install knock-server

• настраиваем его (например на ssh) — /etc/knockd.conf:

  [options]
      UseSyslog
      interface = enp1s0f0
  [SSHopen]
      sequence        = 33333,22222,11111
      seq_timeout     = 5
      tcpflags        = syn
      start_command   = iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
      cmd_timeout     = 3600
      stop_command    = iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  [SSHclose]
      sequence        = 11111,22222,33333
      seq_timeout     = 5
      tcpflags        = syn
      command         = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

  "Открывающая" часть настроена на автозакрытие через 1 час. Мало ли...

• /etc/sysconfig/iptables:

  ...
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 11111 -j ACCEPT
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 22222 -j ACCEPT
  -A INPUT -p tcp -m state --state NEW -m tcp --dport 33333 -j ACCEPT
  ...

• вперед:

  service iptables restart
  service knockd start

• можно добавить RDP на крутящийся внутри виртуальный Windows Server (/etc/knockd.conf; название интерфейса подставить по вкусу):

  [RDPopen]
      sequence        = 44444,33333,22222
      seq_timeout     = 5
      tcpflags        = syn
      start_command   = iptables -t nat -A PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
      cmd_timeout     = 3600
      stop_command    = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
  [RDPclose]
      sequence        = 22222,33333,44444
      seq_timeout     = 5
      tcpflags        = syn
      command         = iptables -t nat -D PREROUTING -s %IP% -i enp1s0f0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

  Все наши пинки от клиента отслеживаем на сервере командой iptables -S.

2. Путеводитель по граблям

knockd.conf:

В манах тоже всё есть (но это неточно), однако knockd — товарищ довольно скупой на сообщения, поэтому надо быть очень внимательным.

• версия
  В репозитариях Fedora/CentOS крайний knockd на сегодня — 0.63. Кто хочет UDP — ищите пакеты 0.70.
• interface
  В дефолтной конфигурации Fedora/CentOS эта строка отсутствует. Добавить руками, иначе не будет работать.
• timeout
  Здесь подобрать по вкусу. Надо чтобы и клиенту времени хватило на все пинки — и бот-сканер портов обломался (а сканировать будут 146%).
• start/stop/command.
  Если команда одна — то command, если две — то start_command+stop_command.
  Если ошибетесь — knockd промолчит, но работать не будет.
• proto
  Теоретически можно использовать UDP. На практике я было смешал tcp и udp, а клиент с пляжа в Бали смог открыть себе калитку только с пятого раза. Ибо TCP долетели когда надо, а UDP — не факт. Но это дело вкуса, опять же.
• sequence
  Неявные грабли в том, что последовательности не должны пересекаться… как бы это сказать...

Например, такое:

open: 11111,22222,33333
close: 22222,11111,33333

По пинку 11111 open будет ждать следующего пинка на 22222. Однако по этому (22222) пинку начнет работать close и всё поломается. Такие дела ©.

iptables

Если в /etc/sysconfig/iptables вот это вот:

*nat
:PREROUTING ACCEPT [0:0]

нам особо не мешает, то вот это вот:

*filter
:INPUT ACCEPT [0:0]
...
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Таки мешает.

Так как knockd добавляет правила в конец цепочки INPUT, то мы получим reject.

А отключить этот reject — это открыть машину всем ветрам.

Дабы не изгаляться в iptables что куда перед чем вставлять (как вот люди ^[2] предлагают) сделаем проще:

• дефолтное в CentOS/Fedora первое правило ("что не запрещено — разрешено") заменим на обратное,
• а последнее правило убираем.

В итоге должно получиться:

*filter
:INPUT DROP [0:0]
...
#-A INPUT -j REJECT --reject-with icmp-host-prohibited

Можно, конечно, вместо DROP сделать REJECT, но с DROP ботам будет жить веселее.

3. Клиент

В этом месте самое интересное (с моей точки зрения), так как надо работать не только с любого пляжа, но и с любого устройства.

В принципе ряд клиентов перечислены на сайте ^[1] проекта, но это из той же серии "в интернете всё есть". Поэтому перечислю то, что здесь и сейчас работает у меня под руками.

При выборе клиента необходимо проследить, чтобы он поддерживал опцию delay между пакетами. Да, пляж пляжу рознь и 100 мегабит ни разу не гарантируют долетание пакетов в нужном порядке в нужное время из данного места.

И да — при настройке клиента delay надо подбирать самостоятельно. Много timeout — боты нападут, мало — клиент не успеет. Много delay — клиент не успеет, мало — пакеты перезаблудятся в интернетах.

При timeout=5s вполне рабочий вариант delay=300..500ms

Windows

Как это ни смешно звучит, но нагуглить внятный knock-клиент под эту платформу довольно нетривиально. Такой, чтобы CLI, поддерживал delay, TCP — и без бантиков.

Как вариант можно попробовать это вот ^[3]. Видимо у меня гугль не торт.

Linux

Здесь всё просто:

dnf install knock -y
knock -d <dstip> 11111 22222 33333

MacOS

Проще всего поставить порт из homebrew:
brew install knock
и нарисовать себе нужные батники командники вида:

#!bin/sh
knock -d 300 <dstip> 11111 22222 33333

iOS

Рабочий вариант — KnockOnD (бесплатный, из магазина).

Android

"Knock on Ports". Не реклама, а просто он работает. И разработчики достаточно отзывчивые.

P.S. markdown на Хабре, конечно, дай бог ему здоровья когда-нибудь...

Автор: justhabrauser

Источник ^[4]