Угу, а еще сзади есть бесполезная кнопка ez-setup, на которую можно скрипт повесить в последней прошивке.
А я бы поставил knock (на форуме про него написано), прикрутил бы к нему скриптик для выдергивания (umount) флеша. Тыкнул ярлык, и через пару секунд можно дергать флешку. И ни в какие ssh-ы ходить не надо.
Угу, а еще сзади есть бесполезная кнопка ez-setup, на которую можно скрипт повесить в последней прошивке.
Я не имею ввиду doorman. )
В принципе, задачи те же, что и выполняет knockd. Волнует его ресурсоёмкость, он ведь слушает весь-весь траффик через интерфейс.
Есть относительно удобная и очень интересная в плане защиты всего, что угодно штучка - knock daemon.
ipkg install knock
Конфигурим /opt/etc/knockd.conf
Закрываем доступ из WAN в post-firewall на все интересующие порты
Теперь чтобы подключиться к нужному сервису (будь то шелл, фтп, самба, нфс, и т.д) снаружи, нам нужно пнуть несколько портов в определенной последовательности. Тогда демон добавляет в iptables разрешение на доступ к указанным портам только от ИП-шника, который только что стучал по портам.
Далее вариантов 2: либо закрывает эти порты по таймауту, либо по второму стуку по портам в определенной последовательности.
Единственное неудобство - на чужой машине приходится телнетом стучаться на каждый порт, а только затем лезть шеллом. На своей стоит knock-клиент, который простукивает по портам, а затем выполняет указанную команду, у меня это putty <ip_сервера>
Я подзаморочился и на своем хостинге написал php скрипт для простукивания... С той лишь особенностью что knockd открывает ssh для всех ip,
ASUS wl-500gP with WL500gp-1.9.2.7-d-r473, asterisk, poptop, ether-wake, knockd.
я думаю, вторая проблема просто решается через ssh, без всяких доработок прошивок.
:wq
Через SSH не устроит. Мне нужно, чтобы роутер открывал и закрывал порты анализируя ICMP пакеты.
Не совсем icmp-пакеты, но...
Code:%ipkg info knock Package: knock Version: 0.5-2 Status: unknown ok not-installed Section: Security Architecture: mipsel maintainer: Don Lubinski <nlsu2@shine-hs.com> MD5Sum: 9a2984159c341974035e4849fc8e8a26 Size: 87668 Filename: knock_0.5-2_mipsel.ipk Source: http://www.zeroflux.org/knock/files/knock-0.5.tar.gz Description: knockd is a port-knock server. It listens to all traffic on an ethernet (or PPP) interface, looking for special knock sequences of port-hits. A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server. This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port. When the server detects a specific sequence of port-hits, it runs a command defined in its configuration file. This can be used to open up holes in a firewall for quick access.
Last edited by Lupo_Alberto; 12-11-2010 at 21:28.
Это очень похоже на то, что мне нужно... Спасибо большое.
Но мне нужно обязательно через ICMP. В этом случае у клиента не нужно никого дополнительного программного обеспечения... Можно работать с любого компьютера, под любой операционкой.
Есть ли кто-то кто может доработать эту программу под ICMP?
С меня отплата деньгами или ответной услугой...
интересно, каким образом планируется "анализировать ICMP пакеты" и как это сочетать с "под любой операционкой", учитывая что конструировать ICMP под виндой нельзя?.. тогда уже проще носить с собой на флешке необходимую тулзу.
PS: почитал ТЗ... н-да. и сразу возникли вопросы... 1) система хранения - это хост во внутренней сети, например, с syslog, или винт/флешка в 320? 2) есть сомнения, по поводу производительности проца для "путем анализа пакетов протокола". если "анализ все-таки не является крайне необходимым, то вполне можно выкрутиться на vnstat, наверное... и port knocking для предоставления доступа.
Last edited by garlands; 13-11-2010 at 19:05.
Что касается ICMP под любой операционкой... Есть простая вещь PING. Работает из командной строки под любой операционкой. PING может быть разной длины. Скрипт для этого пишется или переделвается за 5 минут(это даже много). В windows это bat или cmd.
Анализируем длины пакетов с помощью TCPDAMP. Производительности процессора хватит с большим запасом. Нам только длину посмотреть...
Через TCP или UDP это неудобно еще и потому, что в некоторых местах закрыты порты на выход. И тогда постучатся не получится...
В крайнем случае буду использовать эту программу.
Но пока ищу человека, который может доработать.
Что касается хранения логов для трафика, можно флешку припаять внутри корпуса...
Судя по описанию на странице проекта существует клиент под Windows, а так же возможность управления посредством telnet и netcat, версии которых есть и под Windows.
про пинг я в курсе не надо ёрничать. я про произвольное содержимое пакета, которым в винде рулить нельзя. а об анализе я говорил вот об этом пункте ТЗ: "- доменное имя (только для протоколов http и ftp – сколько c www.sbr.ru, и сколько с video.mail.ru. Доменное имя определяется НЕ путем обратного преобразования IP отправителя, а путем анализа пакетов протокола или путем чтения логов прозрачного некэширующего прокси). "
telnet в семерке по дефолту не устанавливается...
можно было-бы попрбовать, но 320-го нет для экспериментов...
Большое спасибо за ссылку.
Это действительно больше половины решения. Это хорошо.
И то что есть исходники. И то что есть клиент для Виндовс.
Видимо будем считать так, что я хочу осуществить мечту... Или цель=)
Так что буду пытаться дальше.
Если кто может помочь, не стесняйтесь. Пишите, звоните.
Я это пишу не для того чтобы вас задеть. Уверен, что у вас знаний гораздо больше чем у меня. Я просто максимально подробно описываю чего хочу добиться, чтобы не было недопониманий.
Анализ и подсчет трафика предлагаю пока отложить. Хотя тема очень интересная, нужная и востребованная. Но мне сейчас намного важнее Тук-тук.
Что касается железки, если вы в Москве... Могу вам ее предоставить для экспериментов...
У вас не заполнены никакие контакты. Напишите мне на почту kyarik на mail.ru чтобы можно было переписываться напрямую.