Правильно ли расположил Port Knocking для RDP в Firewall?

Question

[bassoon48]

Или нужно после DROP Invalid?


Типа простучал. Потом в список KNOCK_end попадает мой белый ип и ломлюсь в истинный порт RDP.

Хочу ещё honeypot сделать.

П. С. можно ли сделать так чтоб цепочка сбрасывалась или нет? Если не верная последовательность

Answer 1

[Maksim Herasim]

1.Меня сильно смущает наличие фастрак правил
2.так не видно, на 2,3,4 правилах установлен timeout ? Я обычно ставлю 2-3 секунды
3.drop all у вас идет выше разрешающего правила, либо в дроп олл выставит src.adress list != Knock_end, либо разрешающие правило повыше поставить.

Comments

[bassoon48]

1. Почему смущает?
2. Да поставлен 30 секунд. За 2-3 секунды я не успею а рассылать с левого сайта порты не хочу
3. Какой drop all?

[bassoon48]

1. Фаст трак работаёт чётко из WAN to LAN и из LAN to WAN для related и established. Мне не зачем грузить роутер уже устоявшимися коннектами.

3. У меня чётко прописаны все цеопчки по порядку Input и Forwad.
Output не использую. Пока что

Answer 2

[Дмитрий]

Правила порт-нокинга надо строить в обратном порядке, т.к. правила терминирующие - обработка пакета прекращается после срабатывания action - add src to address list
Сначала проверка на Knock2
Потом на Knock1
А Knock3 у вас вообще в другой цепочке, поэтому неважно уже где он будет относительно инпутов

Comments

[bassoon48]

Как я проверю Knock2 если я ещё в Knock1 не попал?

Все 3 порта у меня в цепочке Input.

А "knock3" это уже "белый список" для RDP

[bassoon48]

Ну вот тебе статья с Habr. Там по твоему дауны сидят?

https://habr.com/ru/articles/751178/

У меня был вопрос лишь в том куда мне записать мои "Кноки".?

ДО цепочек вообще.

Или засунуть после Established?

[bassoon48]

Мне уже не надо отвечать. Я решил их запихать до фаервола. ПУсть там находятся.

В Established мне эта перхоть не нужна. Мне главное простучать и попать в White List - Knock_end

[Дмитрий]

bassoon48, во-первых, общайтесь уважительно, нечего тут ТЫкать, вы сюда за помощью пришла или где?
Во-вторых цитируя вашу статью "Данная статья написана с целью понимания основ технологии Port Knocking на базе личного опыта и материалов из интернета, изученных перед её использованием". В отличие от автора, я свои знания получил у сертифицированного тренера по Микротику и сам имею сертификаты.
В-третьих, цепочки являются независимыми сущностями и не меняют порядок обработки, но чего вам объяснять, вы же не за ответом пришли, так что делайте как хотите и никого не спрашивайте, тут же дауны сидят