Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Uživatelská vylepšení / Port kncking sequence a Firewall logovani
- - Od Panelacek Dne 2015-05-26 12:04
Zdravim,

premyslel jsem o nejakem lepsim zabezpeceni jinak otevrenych sluzeb a celkem se mi zalibila moznost portknocking sekvence na docasne probuzeni sluzby (http://www.portknocking.org/). Zda se, ze sluzba je podporovana i OpenWRT balickem "knockd", ale napadlo me, jestli to nebude mit po instalaci nejaky dusledek pro monitring packetu na FW a potazmo zasah do monitorovani a tim padem poruseni smlouvy jako takove.

Diky.
Nadřazený - Od Ondřej Caletka (>>>) Dne 2015-05-26 16:39
Nejsem sice z Turris týmu, ale podle mého chápání to rozhodně není zásah do monitorování ani do automatických aktualizací, toho bych se nebál. Knock pakety budou sice generovat nějaké pokusy o spojení, které firewall zaloguje, těchto pokusů bude ale ve srovnání s ostatním provozem zanedbatelné množství. Taky je možné nastavit firewall tak aby pakety na knock porty rovnou zahodil a tedy nelogoval.

Spíš je otázka, jak správně nastavit knockd, aby dobře spolupracoval s firewallem v Turrisu. Návod na OpenWRT wiki je trochu chaotický. Kdybyste nějakou knofiguraci vyzkoušel a napsal návod šitý na míru pro Turris, myslím, že by se nikdo nezlobil :cool:
Nadřazený - - Od Jan Čermák (>>) Dne 2015-05-26 16:59
Dobrý den,

proti smlouvě to není, pokud tedy chcete port knocking nasadit, bránit Vám v tom nebudeme. Dostatečnou ochranou, která Vás bude stát podstatně méně práce, bývá ale i přesměrování služby na jiný, nestandardní port.
Nadřazený - - Od Panelacek Dne 2015-05-26 18:38
jj, presmerovani SSH uz na nestandardnim portu mam, bohuzel, jsem limitovany moznymi porty a ty ktere budou vzdy fungovat jsou v podsate pouze dva - 80 a 443. To jsou snad jedine, ktere nebude blokovat nikdo, vsechno ostatni uz hodne zalezi misto od mista. SSH se na 80 tvari velmi zvlastne, ale zda se, ze si ssh server s HTTP/1.1 GET: /phpmyadmin/* docela v pohode poradi :)

Jedine co tak zbylo je 443 a chtel bych aby bylo rozhrani schovano, kdyz neni potreba.
Nadřazený - - Od Jan Čermák (>>) Dne 2015-05-27 09:33 Upraveno 2015-05-27 09:36
Pořád je pak ještě možnost mít na tom portu 80 nebo 443 VPN, přes kterou budete tunelovat veškerý provoz. Konec konců stačí i to SSH, přes které pak můžete tunelovat jiné porty na routeru nebo na PC v LAN.

Ale jak to vyřešíte je čistě na Vás. Pokud půjdete do port knockingu, budeme rádi, když se pak podělíte o návod. S ním ale stejně budete mít ten problém, že pokud budete mít připojení, které povoluje jen odchozí HTTP(S) traffic, tak si na router "nezaťukáte".
Nadřazený - Od Panelacek Dne 2015-05-27 09:45
Tak s VPN jsem to zkousel a nepochodil jsem. Nejak se to hryzlo a odmitalo to pridelovat IP tak, aby byla rozsahu na lokalni siti a po nejake dobe jsem uz s tim ztratil trpelivost. Nepomohly tunely nepomohlo nic, porad se to nejak nepotkalo.
Podle jednoho z prispevku klepani funguje splehlive pres mobilni telefon, takze v tom bych problem nevidel. Pokud se mi postesti, urcite se o navod podelim.
Nahoru Téma Majitelé routerů / Uživatelská vylepšení / Port kncking sequence a Firewall logovani

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill