knockd tut nicht

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

Miyamoto

Neuer User
Mitglied seit
11 Nov 2006
Beiträge
121
Punkte für Reaktionen
0
Punkte
16
Ich hab' mir mal den Knockd installiert und konfiguriert - aber er tut nicht :-/

Mein Config:
Code: 
[options]
	logfile = /var/log/knockd.log

[OpenCloseSSH]
	sequence      = 12345:tcp,23456:tcp,34567:tcp
	seq_timeout   = 15
	tcpflags      = syn
	start_command = /sbin/iptables -A open -s %IP% -p tcp --dport 22 -j ACCEPT
	cmd_timeout   = 5
	stop_command  = /sbin/iptables -D open -s %IP% -p tcp --dport 22 -j ACCEPT

Der Daemon soll am Interface 'dsl' lauschen.
Im Log finde ich folgendes:
Code: 
[2008-05-24 17:52] starting up, listening on dsl

Wenn ich jetzt von einem entfernten Rechner aus die externe IP beklopfe:

Code: 
knock $FRITZbox_IP 12345 23456 34567

passiert ..... nüscht :-(

Any ideas?
 
Ich weiß nicht, ob knockd am DSL Interface lauschen sollte. Hast du es mal mit lan bzw. eth0 probiert?
AVM macht da komische Sachen.

MfG Oliver
 
olistudent schrieb:
Ich weiß nicht, ob knockd am DSL Interface lauschen sollte. Hast du es mal mit lan bzw. eth0 probiert?
AVM macht da komische Sachen.
Zum Vergrößern anklicken....

Danke für den Denkanstoß.
Änderung auf eth0 -> Dämon-Start schlägt fehl.

Code: 
/var/mod/root # ifconfig | grep 87 # aktuelle IP enthält diese Zahl
/var/mod/root #

Ergo - in den Interface-Beschreibungen kommt die offizielle IP gar nicht vor !!!

Code: 
/var/mod/root # ifconfig | grep inet
          inet addr:169.254.2.1  P-t-P:169.254.2.1  Mask:255.255.255.255
          inet addr:192.168.178.1  Bcast:192.168.178.255  Mask:255.255.255.0
          inet addr:169.254.1.1  Bcast:169.254.255.255  Mask:255.255.0.0
          inet addr:127.0.0.1  Mask:255.0.0.0

Sind die IPs #1 und #3 nicht UPnP-IPs? #2 ist das LAN, und #4 ist localhost.

Wo zur Hölle versteckt AVM die IP und wie kommt man da ran?
 
Schau mal hier. Vielleicht bringt dich das weiter.

MfG Oliver
 
Ich benutzte dsl:0 im ATA-Modus. die entsprechenden Ports hab ich per AVM-Portfreigabe dorthin weitergeleitet
 
cuma schrieb:
Ich benutzte dsl:0 im ATA-Modus. die entsprechenden Ports hab ich per AVM-Portfreigabe dorthin weitergeleitet
Zum Vergrößern anklicken....

Hab ich versucht - funzt leider nicht, weil es dsl:0 nicht gibt bei mir:
Code: 
/var/mod/root # /etc/init.d/rc.knock start
Starting port-knock server...could not get IP address for dsl:0
failed.

Kannst Du mir ein paar genauere Infos geben?
 
Ah, hab was vergessen :). dsl:0 hab ich mit Virtual-ip-cgi angelegt!
 
Ich möchte diesen Thread noch einmal nach vorne holen auch wenn er schon sehr alt ist.

Port knocking ist ja sehr leicht konfiguriert.
Allerdings mit einer kleinen Hürde, die ich nicht zu überwinden vermag.
Und zwar das Interface auf dem knockd lauschen soll.

Da in keinem der Interfaces die öffentliche ip Adresse auftaucht, muss man ja umher bauen. Auf dem Interface lo läuft alles schon wunderbar, aber wenn ich eh auf der Konsole bin, kann ich auch gleich alle Dienste die ich brauche von Hand starten.
Eine Virtuelle ip, auf die dann die entsprechen Ports weitergeleitet werden ist keine Alternative für mich. Die Ports sollen ja weiterhin zu sein und ins Leere laufen, außerdem will ich teilweise an ohnehin offene und geroutete Ports knocken.

Gibt es da inzwischen eine Lösung um sozusagen auf dsl zu lauschen?
Ein Tutorial für knockd unter freetz habe ich leider nicht gefunden.

Vielen Dank schon einmal
 
Welche POrts hast du ausprobiert? Mittlerweile nutze ich ihne ohne virtual-cgi "dsl"
 
Ich habe folgende Ports benutzt:
1,2,50186,57678,438,443

Die Frage ist ja welches interface ich zum externen lauschen einstellen soll.
dsl und adsl gehen nicht, da beide keine ip adrese zugewiesen bekommen und knockd damit nicht startet. Ich sehe auch mit ifconfig kein interface, welches die externe ip Adresse eingetragen hat.

Wenn das alles läuft will ich auch versuchen die ports dynamisch zu knocken.
Das heißt noch Zahlen wie Datum oder Zeit auf die ports aufzurechnen.
Ich kann also auch keine festen ports routen.
 
Ports musst du eh "routen", son wird das nichts. Bei mir hat "dsl" (irgend)eine IP
 
Hmm, dann ist knockd in dieser konfiguration für mich uninteressant. Ich habe gehofft man könnte die externe ip adresse irgendwie auf einem der interfaces anzeigen lassen, so das knockd extern lauschen kann, ohne etwas zu routen.

Dann werd ich es wohl eher mal in Verbindung mit iptables versuchen. Dort sollte ja jeder Verbindungsversuch auftauchen, damit knockd ihn auslesen kann.
Vor iptables habe ich mich bislang gedrückt, da unstable nicht unbedingt auf meinem dsl Zugangspunkt installiert sein sollte.

Vielen Dank für die info.
 
kraftzwerg schrieb:
...
Ich habe gehofft man könnte die externe ip adresse irgendwie auf einem der interfaces anzeigen lassen, so das knockd extern lauschen kann, ohne etwas zu routen.
...
Zum Vergrößern anklicken....
Ja, das kannst Du ganz einfach mit:
Code: 
ifconfig [COLOR="red"][COLOR="Red"][B]dsl:0[/B][/COLOR][/COLOR] inet $(get_ip -d)
in der rc.custom oder in onlinechanged oder mit einem Script machen. Dann kann knockd an dsl:0 lauschen.
 
Die IP ist knockd ja egal. Mit "routen von Ports" meint er aber wohl freigeben, und das muss man machen, da sonst wie gesagt nichts funktioniert
 
Ich glaube Kraftzwerg möchte, dass knockd sozusagen ausserhalb der FritzBox, also vor der Firewall, lauscht und "mithört" an welchen geschlossenen Ports geklopft wird um dann den für das Klopfzeichen vorgesehenen Port zu öffnen.

Das wird wohl nicht funktionieren.

Gruß, Dieter*
 
Genau das wollte ich Dieter.
So läuft knockd ja eigentlich auch, aber eben nicht auf einer fritzbox.
Ich hoffe, wenn ich iptables als Firewall einsetze sieht das anders aus.

Gruß
Thomas
 
Deshalb habe ich es so eingerichtet, dass ich mit Callmonitor bei Anruf die gewünschten Ports öffne.

Gruß, Dieter*
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 654 (Mitglieder: 46, Gäste: 608)

Neueste Beiträge

Statistik des Forums

Themen
246,308
Beiträge
2,249,857
Mitglieder
373,918
Neuestes Mitglied
RLSIT
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück