Отключение/Включение правил firewall по Port Knocking-у

Здесь выкладываем скрипты
Правила форума
Уважаемые Пользователи форума, обратите внимание!
Ни при каких обстоятельствах, Администрация форума, не несёт ответственности за какой-либо, прямой или косвенный, ущерб причиненный в результате использования материалов, взятых на этом Сайте или на любом другом сайте, на который имеется гиперссылка с данного Сайта. Возникновение неисправностей, потерю программ или данных в Ваших устройствах, даже если Администрация будет явно поставлена в известность о возможности такого ущерба.
Просим Вас быть предельно осторожными и внимательными, в использовании материалов раздела. Учитывать не только Ваши пожелания, но и границы возможностей вашего оборудования.
Ответить
VasVas
Сообщения: 3
Зарегистрирован: 05 май 2021, 22:31

Добрый день!

Подскажите пожалуйста есть ли более короткий путь чем создавать по успешному порт кнокингу событие в логе, затем ловить его шедулером и выполнять скрипт?

Сама задача такова: есть удаленный офис с микротовским роутером, работа с ним ведется через VPN и RDP, но только тогда, когда специальный человек разрешит доступ. Лишних звеньев цепи в лице Телеги и почты хотелось бы избежать. СМС тоже не вариант.
Заранее спасибо!


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

VasVas писал(а): 05 май 2021, 22:53 но только тогда, когда специальный человек разрешит доступ
Где находится этот человек (внутри сети или снаружи)?
И в вашем сценарии с port-knocking'ом это этот специальный человек стучится или тот, кто хочет подключиться?


Telegram: @thexvo
VasVas
Сообщения: 3
Зарегистрирован: 05 май 2021, 22:31

xvo писал(а): 06 май 2021, 00:09
VasVas писал(а): 05 май 2021, 22:53 но только тогда, когда специальный человек разрешит доступ
Где находится этот человек (внутри сети или снаружи)?
И в вашем сценарии с port-knocking'ом это этот специальный человек стучится или тот, кто хочет подключиться?
Человек находится снаружи и только управляет возможностью подключения (с помощью port-knocking'а). Работают другие люди (VPN и RDP) из произвольных мест инет-а.
Уже нашел как слегка упростить скрипт, заменив создание события в логе и его отслеживание на создание адрес листа и отслеживание его наличия. После выполнения скрипта разрешающего или запрещающего правила firewall, адрес лист удаляется.

Но вопрос по оптимизации задачи еще открыт, буду рад выслушать все советы!


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Дайте этому управляющему скрипт, который будет стучаться по ssh и включать/выключать нужные правила. Опционально - не напрямую, а тоже через впн.


Telegram: @thexvo
VasVas
Сообщения: 3
Зарегистрирован: 05 май 2021, 22:31

Большое спасибо за наводку! С ssh еще не работал, пошел читать.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Только имейте ввиду - если открывать порт наружу без впн, то только на нестандартном порту и только с авторизацией по ключу, а не по паролю.
И лучше все-таки через впн.


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

После выполнения скрипта разрешающего или запрещающего правила firewall, адрес лист удаляется.
Я чуть упростил(для случая когда лишнее выполнение скрипта не страшно, у меня так wake on lan работает)
адрес лист создаётся на 11 секунд, а проверяется его наличие при выполнении скрипта раз в 10 секунд. Тогда скриптом адрес удалять не надо, сам пропадёт.

А если парсить лог, то можно вообще не порт кнокингом, а писать боту в телеграм.


Ответить