Você já se perguntou como se comporta nos filmes de agentes secretos: eles batem na porta com uma sequência secreta e a porta se abre! Você também pode fazer isso com o seu servidor! (ou RasPi;)
Prepare seu firewall
editar /etc/iptables.test.rules
*filter
# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Accept local network traffic, change your home network if needed
-A INPUT -s 192.168.1.1/8 -j ACCEPT
# Allows all outbound traffic
# You could modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
#-A INPUT -p tcp --dport 80 -j ACCEPT
#-A INPUT -p tcp --dport 443 -j ACCEPT
# Allows SSH connections
#-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Now you should read up on iptables rules and consider whether ssh access
# for everyone is really desired. Most likely you will only allow access from certain IPs.
# Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# log iptables denied calls (access via 'dmesg' command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Reject all other inbound - default deny unless explicitly allowed policy:
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
Ative essas novas regras:
iptables-restore < /etc/iptables.test.rules
Quando estiver satisfeito, salve as novas regras no arquivo iptables mestre:
iptables-save > /etc/iptables.up.rules
Para ativar essas regras na inicialização, edite /etc/network/if-pre-up.d/iptables
#!/bin/bash
/sbin/iptables-restore < /etc/iptables.up.rules
O arquivo precisa ser executável, portanto, altere as permissões:
chmod +x /etc/network/if-pre-up.d/iptables
Configurar Knockd no servidor
apt-get install knockd
E coloque isso em /etc/knockd.conf
[options]
UseSyslog
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /sbin/iptables -D INPUT -j REJECT;/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT;/sbin/iptables -A INPUT -j REJECT;
tcpflags = syn
[closeSSH]
sequence = 9000,8000,7000
seq_timeout = 5
command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
Configure para iniciar na inicialização, edite /etc/default/knockd
(...)
START_KNOCKD=1
(...)
E inicie o daemon:
/etc/init.d/knockd start
Bata no seu porto:
Assista iptables de seu servidor:
watch iptables -L
Bata na porta de seu servidor de sua estação de trabalho TocTocToc:
wget http://www.zeroflux.org/proj/knock/files/knock-macos.tar.gz
tar xvzf knock-macos.tar.gz
server_ip=...
username=...
./knock $server_ip 7000 8000 9000 #open your ssh port
ssh $username@$server_ip
./knock $server_ip 9000 8000 7000 #close your ssh port
e aproveitar!
Para outros clientes, verifique esta página: http://www.zeroflux.org/projects/knock/
Configure seu roteador
Não se esqueça de permitir que seu roteador dê acesso à sua porta ssh e à porta usada para bater.
Preocupação de segurança
Aconselho você a descartar os pacotes do lado do roteador e também do seu firewall (iptables). Caso contrário, é muito fácil, com base no pacote de resposta, ver as portas abertas e tentar em ordem diferente (com base na resposta, endereço mac ..). Se você sabe como descartar pacotes em seu firewall, pode compartilhar comigo nos comentários.
Mas o seu ssh está bem protegido com uma chave própria gerada e não permite autenticação por senha, certo?
PS
Um PortKnock físico
http://www.engadget.com/2009/11/04/secret-knock-door-lock-defends-home-from-rhythmically-impair/
A parte do firewall é inspirada principalmente em http://wiki.debian.org/iptables