Cách gõ vào mạng của bạn (DD-WRT)
Bạn đã bao giờ muốn có một ký túc xá đặc biệt của gõ gõ với bộ định tuyến của mình, vì nó chỉ có thể mở cửa ra vào khi mà tiếng gõ bí mật đã được nhận ra? How-To Geek giải thích cách cài đặt Knock daemon trên DD-WRT.
Hình ảnh của Bfick và Aviad Raviv
Nếu bạn chưa có, hãy chắc chắn và kiểm tra các bài viết trước trong loạt bài:
- Biến Bộ định tuyến gia đình của bạn thành Bộ định tuyến siêu cấp với DD-WRT
- Cách cài đặt phần mềm bổ sung trên bộ định tuyến gia đình của bạn (DD-WRT)
- Cách xóa quảng cáo với Pixelserv trên DD-WRT
Giả sử bạn đã quen thuộc với những chủ đề đó, hãy tiếp tục đọc. Hãy nhớ rằng hướng dẫn này kỹ thuật hơn một chút và người mới bắt đầu nên cẩn thận khi sửa đổi bộ định tuyến của họ.
Tổng quan
Theo truyền thống, để có thể giao tiếp với thiết bị / dịch vụ, người ta phải bắt đầu một đầy kết nối mạng với nó. Tuy nhiên, làm như vậy phơi bày, những gì được gọi là trong thời đại bảo mật, một bề mặt tấn công. Trình nền Knock là một loại trình thám thính mạng có thể phản ứng khi quan sát thấy trình tự được cấu hình sẵn. Vì không cần thiết lập kết nối để daemon gõ nhận ra chuỗi được cấu hình, bề mặt tấn công bị giảm trong khi vẫn duy trì chức năng mong muốn. Theo một nghĩa nào đó, chúng tôi sẽ điều kiện tiên quyết cho bộ định tuyến với một mong muốn Hai bit phản ứng của người khác (không giống như Roger nghèo).
Trong bài viết này, chúng tôi sẽ:
- Chỉ cho bạn cách sử dụng Knockd để có bộ định tuyến Wake-On-Lan một máy tính trên mạng cục bộ của bạn.
- Chỉ ra cách kích hoạt chuỗi Knock từ ứng dụng Android, cũng như máy tính.
Lưu ý: Mặc dù các hướng dẫn cài đặt không còn phù hợp, nhưng bạn có thể xem sê-ri phim tôi đã tạo ra cách quay trở lại khi mà, để xem toàn bộ quá trình cấu hình để gõ. (Chỉ xin lỗi trình bày thô thiển).
Ý nghĩa bảo mật
Cuộc thảo luận về cách thức bảo mật của Knockd là gì?, Dài và ngày trở lại nhiều milimet (trong những năm internet) nhưng điểm mấu chốt là:
Knock là một lớp bảo mật bởi sự tối nghĩa, chỉ nên được sử dụng để nâng cao các phương tiện khác như mã hóa và không nên được sử dụng theo cách riêng của mình vì tất cả đều là biện pháp bảo mật.
Điều kiện tiên quyết, giả định và khuyến nghị
- Giả định rằng bạn có bộ định tuyến DD-WRT được kích hoạt Opkg.
- Một số kiên nhẫn vì điều này có thể mất một lúc.
- Rất khuyến khích bạn có được tài khoản DDNS cho IP bên ngoài (thường là động).
Chúng ta hãy nứt
Cài đặt & cấu hình cơ bản
Cài đặt trình nền Knock bằng cách mở một thiết bị đầu cuối vào bộ định tuyến và phát hành:
cập nhật opkg; opkg cài đặt gõ
Bây giờ Knockd đã được cài đặt, chúng ta cần cấu hình các chuỗi và lệnh kích hoạt sẽ được thực thi sau khi chúng được kích hoạt. Để thực hiện việc này, hãy mở tệp tin gõ gõ gõ trong một trình soạn thảo văn bản. Trên bộ định tuyến, đây sẽ là:
vi /opt/etc/knockd.conf
Làm cho nội dung của nó trông giống như:
[tùy chọn]
logfile = /var/log/knockd.log
Sử dụngSyslog
[wakel mỏi]
trình tự = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
lệnh = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram get lan_ipaddr | cut -d. -f 1,2,3) .255
tcpflags = đồng bộ hóa
Hãy giải thích những điều trên:
- Các tùy chọn của phân khúc trên đường phân khúc cho phép một người định cấu hình các tham số chung cho trình nền. Trong ví dụ này, chúng tôi đã hướng dẫn daemon giữ một bản ghi cả trong nhật ký hệ thống và trong một tệp. Mặc dù không có hại khi sử dụng kết hợp cả hai tùy chọn, bạn nên xem xét chỉ giữ một trong số chúng.
- Phân đoạn wakel mỏi, một ví dụ về chuỗi sẽ kích hoạt lệnh WOL tới mạng LAN của bạn cho một máy tính có địa chỉ MAC là aa: bb: cc: dd: ee: 22.
Lưu ý: Lệnh trên, giả sử hành vi mặc định có mạng con lớp C.
Để thêm nhiều trình tự, chỉ cần sao chép và dán phân đoạn của wakel mỏi, và điều chỉnh với các tham số và / hoặc lệnh mới được thực hiện bởi bộ định tuyến.
Khởi nghiệp
Để có bộ định tuyến gọi trình nền khi khởi động, hãy nối phần bên dưới vào tập lệnh geek-init của tập tin từ hướng dẫn OPKG:
gõ -d -c /opt/etc/knockd.conf -i "$ (nvram get wan_ifname)"
Điều này sẽ khởi động trình nền Knock trên giao diện của mạng WAN WAN của bộ định tuyến của bạn, để nó sẽ nghe các gói từ internet.
Gõ từ Android
Trong thời đại của tính di động, hầu như bắt buộc phải có một ứng dụng cho đó, vì vậy, vì vậy, vì vậy, FXFX đã tạo ra một ứng dụng cho nhiệm vụ :)
Ứng dụng này thực hiện các chuỗi gõ ngay từ thiết bị Android của bạn và nó hỗ trợ tạo widget trên màn hình chính của bạn.
- Cài đặt ứng dụng Knocker từ thị trường Android (cũng vui lòng tử tế và đánh giá tốt).
- Sau khi cài đặt trên thiết bị của bạn, khởi chạy nó. Bạn sẽ được chào đón bởi một cái gì đó như:
- Bạn có thể nhấn và giữ biểu tượng ví dụ để chỉnh sửa nó hoặc nhấp vào menu Menu Chế độ để thêm một mục mới. Một mục mới sẽ trông như sau:
- Thêm dòng và điền thông tin cần thiết cho Knocking của bạn. Đối với ví dụ cấu hình WOL từ phía trên, đây sẽ là:
- Tùy chọn thay đổi biểu tượng bằng cách nhấn và giữ biểu tượng bên cạnh tên Knock.
- Lưu Knock.
- Nhấn một lần Knock mới trong màn hình chính để kích hoạt nó.
- Tùy chọn tạo một widget cho nó trên màn hình chính.
Hãy nhớ rằng mặc dù chúng tôi đã định cấu hình tệp cấu hình ví dụ với các nhóm 3 cho mỗi cổng (vì phần Telnet bên dưới), với ứng dụng này không có giới hạn về số lần lặp lại (nếu có) cho một cổng.
Hãy vui vẻ khi sử dụng ứng dụng mà StavFX đã tặng :-)
Gõ từ Windows / Linux
Mặc dù có thể thực hiện Knocking với tiện ích mạng đơn giản nhất a.k.a, Telnet, Microsoft đã quyết định rằng Telnet là một rủi ro bảo mật của một tên lửa và sau đó không còn cài đặt nó trên các cửa sổ hiện đại. Nếu bạn hỏi tôi, họ có thể từ bỏ quyền tự do thiết yếu để có được một chút an toàn tạm thời, xứng đáng không có tự do cũng không an toàn. ~ Benjamin Franklin, nhưng tôi lạc đề.
Lý do chúng tôi đặt chuỗi ví dụ thành các nhóm 3 cho mỗi cổng, là khi telnet không thể kết nối với cổng mong muốn, nó sẽ tự động thử lại 2 lần nữa. Điều này có nghĩa là telnet sẽ thực sự gõ 3 lần trước khi bỏ cuộc. Vì vậy, tất cả những gì chúng ta phải làm là thực thi lệnh telnet một lần cho mỗi cổng trong nhóm cổng. Đó cũng là lý do khoảng thời gian chờ 30 giây đã được chọn, vì chúng tôi phải chờ thời gian chờ của telnet cho mỗi cổng cho đến khi chúng tôi thực hiện nhóm cổng tiếp theo. Bạn nên hoàn thành giai đoạn thử nghiệm, bạn nên tự động hóa quy trình này với tập lệnh Batch / Bash đơn giản.
Sử dụng chuỗi ví dụ của chúng tôi sẽ như sau:
- Nếu trên windows của bạn, hãy làm theo hướng dẫn MS để cài đặt Telnet.
- Thả xuống một dòng lệnh và vấn đề:
telnet geek.dyndns-at-home.com 56
telnet geek.dyndns-at-home.com 43
telnet geek.dyndns-at-home.com 1443
Nếu mọi việc suôn sẻ, đó nên là nó.
Xử lý sự cố
Nếu bộ định tuyến của bạn không phản ứng với các chuỗi, đây là một số bước khắc phục sự cố bạn có thể thực hiện:
- Xem nhật ký - Knockd sẽ giữ một nhật ký mà bạn có thể xem trong thời gian thực để xem các chuỗi gõ có đến daemon hay không và liệu lệnh đã được thực thi đúng chưa.
Giả sử bạn ít nhất đang sử dụng tệp nhật ký như trong ví dụ trên, để xem nó trong thời gian thực, vấn đề trong một thiết bị đầu cuối:đuôi -f /var/log/knockd.log
- Hãy chú ý đến tường lửa - Đôi khi ISP, nơi làm việc hoặc quán cà phê internet của bạn, có quyền tự do chặn liên lạc cho bạn. Trong trường hợp như vậy, trong khi bộ định tuyến của bạn có thể đang lắng nghe, tiếng gõ vào các cổng bị chặn bởi bất kỳ phần nào của chuỗi, sẽ không đến được bộ định tuyến và nó sẽ gặp khó khăn khi phản ứng với chúng. Đó là lý do tại sao nên thử các kết hợp sử dụng các cổng nổi tiếng như 80, 443, 3389, v.v. trước khi thử các cổng ngẫu nhiên hơn. Một lần nữa, bạn có thể xem nhật ký để xem cổng nào tiếp cận với giao diện WAN của bộ định tuyến.
- Hãy thử các trình tự bên trong - Trước khi liên quan đến sự phức tạp ở trên mà các phần khác của chuỗi có thể đưa ra, bạn nên thử thực hiện các trình tự bên trong để thấy rằng họ A. nhấn bộ định tuyến như bạn nghĩ rằng họ nên B. thực hiện lệnh / s như mong đợi. Để thực hiện điều này, bạn có thể bắt đầu Knockd trong khi bị ràng buộc với giao diện LAN của bạn với:
gõ -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf
Sau khi thực hiện ở trên, bạn có thể hướng máy khách Knocking đến IP bên trong của bộ định tuyến thay vì IP bên ngoài của bộ định tuyến.
Mẹo: Vì gõ cửa nghe ở cấp độ Giao diện của cấp độ chứ không phải cấp IP, nên bạn có thể muốn có một phiên bản KnockD chạy trên giao diện LAN mọi lúc. Vì ngay bây giờ, Knocker đã được cập nhật để hỗ trợ hai máy chủ gõ cửa, làm như vậy để đơn giản hóa và củng cố hồ sơ gõ cửa của bạn. - Hãy nhớ phía nào của bạn - Không thể gõ giao diện WAN từ giao diện LAN trong cấu hình trên. Nếu bạn muốn có thể hạ gục bất kể là ai về phe của bạn, bạn chỉ cần chạy quỷ hai lần, Một lần bị ràng buộc với mạng WAN như trong bài viết và một lần bị ràng buộc với mạng LAN như trong bước gỡ lỗi từ phía trên. Không có vấn đề gì khi chạy cả hai kết hợp bằng cách đơn giản nối thêm lệnh từ phía trên vào cùng một tập lệnh geek-init.
Nhận xét
Mặc dù ví dụ trên có thể được thực hiện bằng nhiều phương pháp khác nhau, chúng tôi hy vọng rằng bạn có thể sử dụng nó để học cách hoàn thành những điều tiến bộ hơn. Một phần hai của bài viết này ẩn dịch vụ VPN đằng sau tiếng gõ cửa đang đến, vì vậy hãy theo dõi.Thông qua Knocking, bạn sẽ có thể: Tự động mở các cổng, Tắt / Bật dịch vụ, máy tính WOL từ xa và nhiều hơn nữa