Kuinka koputtaa verkkoosi (DD-WRT)
Oletko koskaan halunnut, että tämä erityinen "asuntolastu" on reitittimesi kanssa, sillä se vain avaa oven, kun salainen koputus on tunnistettu? How-To Geek kertoo, miten Knock-demoni asennetaan DD-WRT: ään.
Kuva: Bfick ja Aviad Raviv
Jos et ole jo tehnyt, varmista ja tarkista aiemmat artikkelit sarjassa:
- Käännä kodin reititin DD-WRT: n kanssa Super-Powered -reitittimeksi
- Lisäohjelmiston asentaminen kotireitittimeen (DD-WRT)
- Kuinka poistaa mainoksia Pixelservillä DD-WRT: ssä
Olettaen, että olet perehtynyt näihin aiheisiin, jatka lukemista. Muista, että tämä opas on hieman teknisempi, ja aloittelijoiden tulisi olla varovaisia, kun muutetaan reititintä.
Yleiskatsaus
Perinteisesti voidakseen kommunikoida laitteen / palvelun kanssa olisi aloitettava a koko verkkoyhteys siihen. Tällöin kuitenkin paljastuu, mitä turvallisuuskaudella kutsutaan, hyökkäyspinnaksi. Knock-daemon on eräänlainen verkko, joka voi reagoida, kun havaitaan ennalta määrätty sekvenssi. Koska yhteyttä ei tarvitse luoda, jotta koputusdemoni tunnistaa konfiguroidun sekvenssin, hyökkäyspinta pienenee säilyttäen halutun toiminnallisuuden. Tietyssä mielessä me edellytämme reitittimen a haluttu "Kaksi bittiä" -vaste (toisin kuin huono Roger…).
Tässä artikkelissa:
- Näytä, miten Knockdia käytetään Wake-On-Lan-reitittimen paikallisverkossa.
- Näytä, miten käynnistät Knock-sarjan Android-sovelluksesta ja tietokoneesta.
Huomautus: Vaikka asennusohjeet eivät ole enää merkityksellisiä, voit katsella elokuvasarjan, jonka olen luonut “takaisin takaisin” nähdäkseni, että koko asetus on kopioitu. (Anteeksi vain karkea esitys).
turvallisuusnäkökohtia
Keskustelu "kuinka turvallinen on Knockd?", On pitkä ja juontaa juurensa vuosituhannen ajan (internet-vuosina), mutta alin rivi on:
Knock on turvakerros epäselvyydestä, jota pitäisi käyttää vain parantaa muita keinoja, kuten salausta, ja niitä ei pitäisi käyttää sen omina, koska ne kaikki ovat kaikki turvatoimenpiteitä.
Edellytykset, oletukset ja suositukset
- Oletetaan, että sinulla on Opkg-käytössä oleva DD-WRT-reititin.
- Jotkut kärsivällisyyttä, koska tämä saattaa kestää jonkin aikaa.
- On erittäin suositeltavaa hankkia DDNS-tili ulkoiselle (yleensä dynaamiselle) IP: lle.
Saat halkeamia
Asennus ja perusasetukset
Asenna Knock-demoni avaamalla reitittimen päätelaite ja antamalla:
opkg-päivitys; opkg asenna knockd
Nyt kun Knockd on asennettu, meidän on määritettävä käynnistyssekvenssit ja -komennot, jotka suoritetaan, kun ne käynnistetään. Voit tehdä tämän avaamalla knockd.conf-tiedoston tekstieditorissa. Reitittimessä tämä olisi:
vi /opt/etc/knockd.conf
Tee sen sisältö näyttämästä:
[Optiot]
logfile = /var/log/knockd.log
UseSyslog
[Wakelaptop]
sekvenssi = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
komento = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram saa lan_ipaddr | cut -d. -f 1,2,3) .255
tcpflags = synkronointi
Voit selittää edellä mainitut:
- ”Vaihtoehdot” -segmentin avulla voidaan määrittää demonin globaalit parametrit. Tässä esimerkissä olemme pyytäneet demonia pitämään lokin sekä syslogissa että tiedostossa. Vaikka se ei vahingoita molempia vaihtoehtoja, kannattaa harkita vain yhden niistä.
- "Wakelaptop" -segmentti on esimerkki sekvenssistä, joka käynnistää WOL-komennon lähiverkkoon tietokoneelle, jonka MAC-osoite on aa: bb: cc: dd: ee: 22.
Huomautus: Yllä oleva komento olettaa, että C-luokan aliverkolla on oletuskäyttäytyminen.
Jos haluat lisätä lisää sekvenssejä, kopioi ja liitä ”wakelaptop” -segmentti ja säädä uudet parametrit ja / tai komennot, jotka reititin suorittaa.
Aloittaa
Jos haluat, että reititin käynnistää demonin käynnistyksen yhteydessä, liitä alla oleva "geek-init" -skripti OPKG-oppaasta:
knockd -d -c /opt/etc/knockd.conf -i "$ (nvram get wan_ifname)"
Tämä käynnistää Knock-demonin reitittimen WAN-rajapinnalla, jotta se kuuntelee paketteja Internetistä.
Knock Androidista
Kannettavuuden aikakaudella sen lähes välttämätöntä "olla sovellus siihen"… niin StavFX loi yhden tehtävän :)
Tämä sovellus suorittaa koputussekvenssit suoraan Android-laitteestasi ja tukee widgetien luomista kotinäytöissä.
- Asenna Knocker-sovellus Android-markkinoilta (olkaa hyvä ja olkaa hyvä).
- Kun olet asentanut laitteen, käynnistä se. Sinun pitäisi olla tervetullut jollakin tavalla:
- Voit muokata sitä pitkään painamalla esimerkkikuvaketta tai lisätä uuden merkinnän napsauttamalla valikkoa. Uusi merkintä näyttää siltä:
- Lisää rivejä ja täytä koputtamiseen tarvittavat tiedot. Esimerkiksi WOL-konfiguraatio ylhäältä olisi:
- Vaihtoehtoisesti voit muuttaa kuvaketta painamalla pitkään Knock-nimen vieressä olevaa kuvaketta.
- Tallenna Knock.
- Yhdistä napauttamalla uusi Knock pääikkunassa aktivoidaksesi sen.
- Voit myös luoda widgetin sille aloitusnäytössä.
Muista, että vaikka olemme määrittäneet esimerkkikonfiguraatiotiedoston ryhmillä 3 jokaiselle portille (koska Telnet-osio on alla), tällä sovelluksella ei ole rajoituksia toistojen (jos ollenkaan) määrälle portille.
Pidä hauskaa StavFXin lahjoittaman sovelluksen avulla :-)
Knock Windows / Linuxista
Vaikka on mahdollista suorittaa Knockingin yksinkertaisin verkko-apuohjelma "Telnet", Microsoft on päättänyt, että Telnet on "turvallisuusriski" ja ei enää asenna sitä oletusarvoisesti nykyaikaisissa ikkunoissa. Jos kysyt minulta: ”Ne, jotka voivat luopua olennaisesta vapaudesta saada vähän väliaikaista turvallisuutta, ansaitsevat vapautta eikä turvallisuutta. ~ Benjamin Franklin ”, mutta kaivaan.
Syy, miksi asetimme esimerkkisekvenssin ryhmille 3 jokaiselle portille, on se, että kun telnet ei pysty muodostamaan yhteyttä haluttuun porttiin, se yrittää automaattisesti uudelleen 2 kertaa. Tämä tarkoittaa sitä, että telnet todella kolhi 3 kertaa ennen luopumista. Joten meidän on tehtävä vain telnet-komento kerran porttiryhmän jokaiselle portille. Se on myös syy siihen, että 30 sekunnin aikakatkaisuaika on valittu, koska meidän on odotettava telnetin aikakatkaisua jokaiselle portille, kunnes suoritamme seuraavan portiryhmän. On suositeltavaa, että kun olet suorittanut testausvaiheen, automatisoi tämä prosessi yksinkertaisesti Batch / Bash-skriptiin.
Esimerkkisarjan käyttäminen näyttää siltä:
- Jos olet Windowsissa, asenna Telnet asentamalla MS-ohje.
- Pudota komentoriville ja anna kysymys:
telnet geek.dyndns-at-home.com 56
telnet geek.dyndns-at-home.com 43
telnet geek.dyndns-at-home.com 1443
Jos kaikki meni hyvin, sen pitäisi olla.
Ongelmien karttoittaminen
Jos reititin ei reagoi sekvensseihin, tässä on muutamia vianmääritysvaiheita, joita voit tehdä:
- Näytä loki - Knockd pitää lokia, jota voit tarkastella reaaliajassa nähdäksesi, ovatko koputussekvenssit saapuneet daemoniin ja onko komento suoritettu oikein.
Olettaen, että käytät ainakin log-tiedostoa kuten yllä olevassa esimerkissä, nähdäksesi sen reaaliajassa, ongelman antaminen päätelaitteessa:tail -f /var/log/knockd.log
- Ole tietoinen palomuureista - Joskus Internet-palveluntarjoajasi, työpaikkasi tai internetkahvilasi on estänyt viestinnän estämisen. Tällaisessa tapauksessa, vaikka reititin voi kuunnella, ketjun minkä tahansa osan estämät portit eivät pääse reitittimeen ja sillä on vaikea reagoida niihin. Siksi on suositeltavaa kokeilla yhdistelmiä, joissa käytetään hyvin tunnettuja portteja, kuten 80, 443, 3389 ja niin edelleen, ennen kuin yrität satunnaisempia. Jälleen kerran voit tarkastella lokia nähdäksesi, mitkä portit pääsevät reitittimen WAN-liitäntään.
- Kokeile sekvenssejä sisäisesti - Ennen edellä mainitun monimutkaisuuden tekemistä, joita ketjun muut osat voivat ottaa käyttöön, on suositeltavaa, että yrität suorittaa sekvenssit sisäisesti nähdäksesi, että ne osuvat reitittimeen kuten luulet, että niiden pitäisi B. suorittaa komento / s odotetulla tavalla. Tämän saavuttamiseksi voit aloittaa Knockdin, kun se on sidottu lähiverkkoliitäntään seuraavasti:
knockd -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf
Kun edellä mainittu on suoritettu, voit ohjata Knocking-asiakkaan reitittimen sisäiseen IP: hen sen ulkoisen IP: n sijaan.
Vihje: Koska knockd kuuntelee ”rajapinnan” tasolla eikä IP-tasolla, saatat haluta, että LAN-liitännässä käydään aina KnockD-esiintymä. Koska "Knocker" on päivitetty tukemaan kahta isäntää koputtamista varten, niin se yksinkertaistaa ja yhdistää koputusprofiilit. - Muista, millä puolella olet päällä - WAN-liitäntää ei ole mahdollista kopioida LAN-liitännästä yllä olevassa kokoonpanossa. Jos haluat pystyä koputtamaan mitä tahansa puolta, voit yksinkertaisesti ajaa demonia kahdesti, kun olet sitoutunut WAN: iin kuten artikkelissa ja kun se on sidottu lähiverkkoon kuten virheenkorjausvaiheessa ylhäältä. Ei ole ongelma käynnissä molemmat yhdessä yksinkertaisesti liittämällä komento ylhäältä samaan geek-init-komentosarjaan.
Huomautukset
Vaikka edellä oleva esimerkki voitaisiin toteuttaa useilla muilla menetelmillä, toivomme, että voit käyttää sitä oppimaan, miten saavuttaa enemmän etukäteen. Tämän artikkelin toinen osa, joka piilottaa VPN-palvelun koputuksen takana, on tulossa, joten pysy kuulolla.Knockingin avulla voit: Dynaamisesti avata portteja, Poista palvelut käytöstä tai ottaa ne käyttöön, WOL-tietokoneita etäkäyttää ja muuta…