Kaip įjungti tinklą (DD-WRT)
Ar kada nors norėjote, kad specialus „bendrabučio smūgis“ būtų su jūsų maršrutizatoriumi, kad būtų galima „atidaryti tik duris“, kai buvo pripažintas slaptas smūgis? „How-To Geek“ paaiškina, kaip įdiegti „Knock“ demoną „DD-WRT“.
Bfick ir Aviad Raviv vaizdas
Jei dar nesate, įsitikinkite ir patikrinkite ankstesnius serijos straipsnius:
- Paverskite savo maršrutizatorių į „Super-Powered Router“ su DD-WRT
- Kaip įdiegti papildomą programinę įrangą jūsų namų maršrutizatoriuje (DD-WRT)
- Kaip pašalinti skelbimus su „Pixelserv“ DD-WRT
Darant prielaidą, kad esate susipažinę su šiomis temomis, skaitykite toliau. Turėkite omenyje, kad šis vadovas yra šiek tiek labiau techninis, o pradedantiesiems turėtų būti atsargūs keičiant savo maršrutizatorių.
Apžvalga
Tradiciškai, kad būtų galima bendrauti su įrenginiu / paslauga, reikėtų inicijuoti pilna tinklo ryšys su juo. Tačiau tai daroma atskleidžiant, kas vadinama saugumo amžiumi, ataka. „Knock“ demonas yra tinklas, kuris gali reaguoti, kai stebima iš anksto sukonfigūruota seka. Kadangi ryšys neturi būti sukurtas tam, kad knocko demonas atpažintų sukonfigūruotą seką, atakos paviršius sumažinamas išlaikant norimą funkcionalumą. Tam tikra prasme mes nustatysime maršrutizatorių su a norima „Dviejų bitų“ atsakas (skirtingai nei blogas Roger…).
Šiame straipsnyje mes:
- Parodykite, kaip naudoti Knockd, kad maršrutizatorius Wake-On-Lan būtų kompiuteris jūsų vietiniame tinkle.
- Parodykite, kaip paleisti „Knock“ seką iš „Android“ programos ir kompiuterio.
Pastaba: nors diegimo instrukcijos nebėra aktualios, galite žiūrėti filmų seriją, kurią sukūriau „kelią atgal“, kad pamatytumėte visą sukabinimo konfigūraciją. (Tiesiog atleiskite neapdorotą pristatymą).
Saugumo pasekmės
Diskusija apie „kaip saugi yra Knockd?“, Yra ilgas ir datuojamas daugelį tūkstantmečių (internetiniais metais), tačiau tai yra:
„Knock“ - tai saugumo sluoksnis, kuris turi būti apgaubtas, o tai turėtų būti naudojama tik padidinti kitos priemonės, pvz., šifravimas, ir neturėtų būti naudojamos jos pačių, kaip visų galų gale, visos saugumo priemonės.
Būtinos sąlygos, prielaidos ir rekomendacijos
- Manoma, kad turite „Opkg“ įgalintą „DD-WRT“ maršrutizatorių.
- Kai kurie kantrybės, nes tai gali užtrukti „laiko“.
- Labai rekomenduojama įsigyti DDNS paskyrą savo išoriniam (paprastai dinaminiam) IP.
Leidžiame įtrūkti
Diegimas ir pagrindinė konfigūracija
Įdiekite „Knock“ demoną atidarydami terminalą maršrutizatoriui ir išduodant:
opkg atnaujinimas; įdiegti „knockd“
Dabar, kai įdiegta „Knockd“, turime sukonfigūruoti paleidimo sekas ir komandas, kurios bus vykdomos, kai jos bus įjungtos. Norėdami tai padaryti, teksto redaktoriuje atidarykite failą „knockd.conf“. Maršrutizatoriuje tai būtų:
vi /opt/etc/knockd.conf
Padarykite jo turinį taip:
[galimybės]
logfile = /var/log/knockd.log
„UseSyslog“
[wakelaptop]
seka = 56,56,56,43,43,43,1443,1443,1443
seq_timeout = 30
command = / usr / sbin / wol aa: bb: cc: dd: ee: 22 -i $ (nvram gauti lan_ipaddr | cut -d. -f 1,2,3) .255
tcpflags = sinchronizavimas
Leiskite paaiškinti aukščiau:
- Segmento segmentas leidžia konfigūruoti pasaulinius demono parametrus. Šiame pavyzdyje mes nurodėme demonui saugoti žurnalą ir syslog, ir faile. Nors tai nepadeda naudoti abiejų variantų kartu, turėtumėte apsvarstyti galimybę išsaugoti tik vieną iš jų.
- „Wakelaptop“ segmentas yra sekos pavyzdys, kuris sukels WOL komandą į jūsų kompiuterį kompiuteriui, kurio MAC adresas yra aa: bb: cc: dd: ee: 22.
Pastaba: aukščiau pateikta komanda prisiima numatytąjį C klasės potinklio elgesį.
Jei norite pridėti daugiau sekų, tiesiog nukopijuokite ir įklijuokite „wakelaptop“ segmentą ir sureguliuokite naujus parametrus ir (arba) komandas, kurias turi atlikti maršrutizatorius.
Pradėti
Jei norite, kad maršrutizatorius pradėtų naudoti demoną paleidimo metu, pridėkite žemiau prie „geek-init“ scenarijaus iš OPKG vadovo:
knockd -d -c /opt/etc/knockd.conf -i "$ (nvram get wan_ifname)"
Tai pradės „Knock“ demoną maršruto parinktuvo „WAN“ sąsajoje, kad ji išgirstų paketus iš interneto.
Išjunkite iš „Android“
Perkeliamumo amžiuje jo beveik būtina „turėti programą“… todėl StavFX sukūrė vieną užduotį :)
Ši programa atlieka kopijavimo sekas tiesiai iš jūsų „Android“ įrenginio ir palaiko valdiklių kūrimą pagrindiniuose ekranuose.
- „Android“ rinkoje įdiegite „Knocker“ programą (taip pat prašome būti geras ir suteikti jam gerą įvertinimą).
- Įdiegę įrenginį, paleiskite jį. Turėtumėte pasveikinti kažką panašaus:
- Jau ilgai paspauskite pavyzdžio piktogramą, kad ją redaguotumėte, arba spustelėkite „meniu“, kad pridėtumėte naują įrašą. Naujas įrašas atrodytų:
- Pridėkite linijų ir užpildykite reikiamą informaciją apie „Knocking“. Pavyzdžiui, WOL konfigūracija iš viršaus būtų:
- Pasirinktinai pakeiskite piktogramą, ilgai paspausdami piktogramą šalia „Knock“ pavadinimo.
- Išsaugokite „Knock“.
- Vienam bakstelėkite naują Knock pagrindiniame ekrane, kad jį suaktyvintumėte.
- Pasirinktinai sukurti pagrindinį ekraną pagrindiniame ekrane.
Atminkite, kad nors konfigūravome pavyzdinio konfigūracijos failą su 3 grupėmis kiekvienam prievadui (dėl toliau pateikto „Telnet“ skyriaus), su šia programa neribojama pakartojimų (jei yra) uoste skaičius.
Pasilinksminkite naudodami programą, kurią paaukojo StavFX :-)
Kopijuoti iš „Windows“ / „Linux“
Nors „Knocking“ galima atlikti paprasčiausia tinklo paslauga „Telnet“, „Microsoft“ nusprendė, kad „Telnet“ yra „saugumo rizika“, o vėliau ji nebeįdiegia šiuolaikiniuose languose. Jei manęs klausiate: „Jie, kurie gali atsisakyti esminės laisvės gauti nedidelę laikiną saugą, nusipelno nei laisvės, nei saugumo. ~ Benjamin Franklin “, bet aš nukirstu.
Priežastis, kodėl kiekvienam prievadui nustatėme 3 sekos pavyzdžių seką, yra tai, kad kai telnet negali prisijungti prie norimo prievado, jis automatiškai bandys dar 2 kartus. Tai reiškia, kad telnetas iš tikrųjų trys kartus pasitraukia. Taigi viskas, ką turime padaryti, yra atlikti telnet komandą vieną kartą už kiekvieną uosto grupės prievadą. Tai taip pat yra priežastis, dėl kurios buvo pasirinktas 30 sekundžių trukmės laiko intervalas, nes turime laukti, kol kiekvienas uostas telnetas, kol vykdysime kitą portų grupę. Rekomenduojama, kad baigę testavimo etapą, automatizuokite šią procedūrą su paprastu scenarijumi „Partijos / Bash“.
Naudodami mūsų pavyzdžių seką, tai atrodytų:
- Jei naudojate „Windows“, vykdykite „MS“ nurodymus įdiegti „Telnet“.
- Išeikite į komandų eilutę ir išduokite:
telnet geek.dyndns-at-home.com 56
telnet geek.dyndns-at-home.com 43
telnet geek.dyndns-at-home.com 1443
Jei viskas vyko gerai, tai turėtų būti.
Problemų sprendimas
Jei jūsų maršrutizatorius nereaguoja į sekas, čia rasite kelis trikčių šalinimo veiksmus:
- Žiūrėkite žurnalą - „Knockd“ išsaugos žurnalą, kurį galėsite peržiūrėti realiu laiku, kad pamatytumėte, ar nukenksminimo sekos atvyko į demoną ir ar komanda buvo teisingai vykdoma.
Darant prielaidą, kad jūs bent jau naudojate žurnalo failą, kaip nurodyta aukščiau pateiktame pavyzdyje, norėdami jį pamatyti realiu laiku, išduokite terminalą:uodega -f /var/log/knockd.log
- Atkreipkite dėmesį į užkardas - kartais jūsų interneto paslaugų teikėjas, darbo vieta arba interneto kavinė gali laisvai užblokuoti bendravimą. Tokiu atveju, kai jūsų maršrutizatorius gali klausytis, kai kurios grandinės dalies užblokuotos jungiamosios linijos smūgiai nepasiekia maršrutizatoriaus ir jiems bus sunku reaguoti. Štai kodėl rekomenduojama išbandyti derinius, kuriuose naudojami gerai žinomi uostai, pvz., 80, 443, 3389 ir pan. Vėlgi galite peržiūrėti žurnalą, kad pamatytumėte, kokie prievadai pasiekia maršrutizatoriaus WAN sąsają.
- Išbandykite sekas viduje - prieš įtraukdami pirmiau minėtą sudėtingumą, kurį gali įvesti kitos grandinės dalys, rekomenduojama, kad sekas atliktumėte viduje, kad pamatytumėte, ar jos yra A. s, kaip tikėtasi. Kad tai įvykdytumėte, „Knockd“ galite paleisti, kai prisijungiate prie savo LAN sąsajos su:
knockd -d -i "$ (nvram get lan_ifnameq)" -c /opt/etc/knockd.conf
Kai pirmiau minėtas veiksmas bus įvykdytas, galite nukreipti „Knocking“ klientą į maršrutizatoriaus vidinį IP, o ne išorinį.
Patarimas: Kadangi „knockd“ klausosi „sąsajos“ lygiu, o ne IP lygmeniu, galbūt norėsite, kad „LAN“ sąsajoje visą laiką būtų naudojamas „KnockD“ egzempliorius. Kadangi „Knocker“ buvo atnaujintas, kad būtų palaikomi du kompiuteriai, kad galėtumėte išjudinti, tai darys, kad supaprastintumėte ir sutvirtintumėte savo beldžiamus profilius. - Atminkite, kuri pusė yra įjungta - WAN sąsają neįmanoma išjungti iš LAN sąsajos aukščiau pateiktoje konfigūracijoje. Jei norite, kad būtų galima išmušti nesvarbu, kokia pusė yra jūsų, galite du kartus paleisti demoną: „Sujungę su WAN, kaip ir straipsnyje, ir vieną kartą susieti su LAN, kaip derinimo žingsnyje iš viršaus. Nėra jokių problemų, susijusių su tuo, kad paprasčiausiai pridėsite komandą iš viršaus į tą patį geek-init scenarijų.
Pastabos
Nors aukščiau pateiktas pavyzdys gali būti pasiektas įvairiais kitais būdais, tikimės, kad galėsite jį panaudoti, kad sužinotumėte, kaip pasiekti daugiau išankstinių dalykų. Antroji šio straipsnio dalis, kuri slepia VPN paslaugą už užmušimo, ateina, todėl palaikykite ryšį.Per „Knocking“ galėsite: Dinamiškai atidaryti prievadus, Išjungti / įgalinti paslaugas, nuotoliniu būdu WOL kompiuterius ir daugiau ...