knockd tut nicht

[Miyamoto]

Ich hab' mir mal den Knockd installiert und konfiguriert - aber er tut nicht :-/

Mein Config:

[options]
	logfile = /var/log/knockd.log

[OpenCloseSSH]
	sequence      = 12345:tcp,23456:tcp,34567:tcp
	seq_timeout   = 15
	tcpflags      = syn
	start_command = /sbin/iptables -A open -s %IP% -p tcp --dport 22 -j ACCEPT
	cmd_timeout   = 5
	stop_command  = /sbin/iptables -D open -s %IP% -p tcp --dport 22 -j ACCEPT

Der Daemon soll am Interface 'dsl' lauschen.
Im Log finde ich folgendes:

[2008-05-24 17:52] starting up, listening on dsl

Wenn ich jetzt von einem entfernten Rechner aus die externe IP beklopfe:

knock $FRITZbox_IP 12345 23456 34567

passiert ..... nüscht :-(

Any ideas?

 

[olistudent]

Ich weiß nicht, ob knockd am DSL Interface lauschen sollte. Hast du es mal mit lan bzw. eth0 probiert?
AVM macht da komische Sachen.

MfG Oliver

 

[Miyamoto]

Ich weiß nicht, ob knockd am DSL Interface lauschen sollte. Hast du es mal mit lan bzw. eth0 probiert?
AVM macht da komische Sachen.

Danke für den Denkanstoß.
Änderung auf eth0 -> Dämon-Start schlägt fehl.

/var/mod/root # ifconfig | grep 87 # aktuelle IP enthält diese Zahl
/var/mod/root #

Ergo - in den Interface-Beschreibungen kommt die offizielle IP gar nicht vor !!!

/var/mod/root # ifconfig | grep inet
          inet addr:169.254.2.1  P-t-P:169.254.2.1  Mask:255.255.255.255
          inet addr:192.168.178.1  Bcast:192.168.178.255  Mask:255.255.255.0
          inet addr:169.254.1.1  Bcast:169.254.255.255  Mask:255.255.0.0
          inet addr:127.0.0.1  Mask:255.0.0.0

Sind die IPs #1 und #3 nicht UPnP-IPs? #2 ist das LAN, und #4 ist localhost.

Wo zur Hölle versteckt AVM die IP und wie kommt man da ran?

 

[olistudent]

Schau mal hier. Vielleicht bringt dich das weiter.

MfG Oliver

 

[cuma]

Ich benutzte dsl:0 im ATA-Modus. die entsprechenden Ports hab ich per AVM-Portfreigabe dorthin weitergeleitet

 

[Miyamoto]

Ich benutzte dsl:0 im ATA-Modus. die entsprechenden Ports hab ich per AVM-Portfreigabe dorthin weitergeleitet

Hab ich versucht - funzt leider nicht, weil es dsl:0 nicht gibt bei mir:

/var/mod/root # /etc/init.d/rc.knock start
Starting port-knock server...could not get IP address for dsl:0
failed.

Kannst Du mir ein paar genauere Infos geben?

 

[cuma]

Ah, hab was vergessen . dsl:0 hab ich mit Virtual-ip-cgi angelegt!

 

[kraftzwerg]

Ich möchte diesen Thread noch einmal nach vorne holen auch wenn er schon sehr alt ist.

Port knocking ist ja sehr leicht konfiguriert.
Allerdings mit einer kleinen Hürde, die ich nicht zu überwinden vermag.
Und zwar das Interface auf dem knockd lauschen soll.

Da in keinem der Interfaces die öffentliche ip Adresse auftaucht, muss man ja umher bauen. Auf dem Interface lo läuft alles schon wunderbar, aber wenn ich eh auf der Konsole bin, kann ich auch gleich alle Dienste die ich brauche von Hand starten.
Eine Virtuelle ip, auf die dann die entsprechen Ports weitergeleitet werden ist keine Alternative für mich. Die Ports sollen ja weiterhin zu sein und ins Leere laufen, außerdem will ich teilweise an ohnehin offene und geroutete Ports knocken.

Gibt es da inzwischen eine Lösung um sozusagen auf dsl zu lauschen?
Ein Tutorial für knockd unter freetz habe ich leider nicht gefunden.

Vielen Dank schon einmal

 

[cuma]

Welche POrts hast du ausprobiert? Mittlerweile nutze ich ihne ohne virtual-cgi "dsl"

 

[kraftzwerg]

Ich habe folgende Ports benutzt:
1,2,50186,57678,438,443

Die Frage ist ja welches interface ich zum externen lauschen einstellen soll.
dsl und adsl gehen nicht, da beide keine ip adrese zugewiesen bekommen und knockd damit nicht startet. Ich sehe auch mit ifconfig kein interface, welches die externe ip Adresse eingetragen hat.

Wenn das alles läuft will ich auch versuchen die ports dynamisch zu knocken.
Das heißt noch Zahlen wie Datum oder Zeit auf die ports aufzurechnen.
Ich kann also auch keine festen ports routen.

 

[cuma]

Ports musst du eh "routen", son wird das nichts. Bei mir hat "dsl" (irgend)eine IP

 

[kraftzwerg]

Hmm, dann ist knockd in dieser konfiguration für mich uninteressant. Ich habe gehofft man könnte die externe ip adresse irgendwie auf einem der interfaces anzeigen lassen, so das knockd extern lauschen kann, ohne etwas zu routen.

Dann werd ich es wohl eher mal in Verbindung mit iptables versuchen. Dort sollte ja jeder Verbindungsversuch auftauchen, damit knockd ihn auslesen kann.
Vor iptables habe ich mich bislang gedrückt, da unstable nicht unbedingt auf meinem dsl Zugangspunkt installiert sein sollte.

Vielen Dank für die info.

 

[sf3978]

...
Ich habe gehofft man könnte die externe ip adresse irgendwie auf einem der interfaces anzeigen lassen, so das knockd extern lauschen kann, ohne etwas zu routen.
...

Ja, das kannst Du ganz einfach mit:

ifconfig [COLOR="red"][COLOR="Red"][B]dsl:0[/B][/COLOR][/COLOR] inet $(get_ip -d)

in der rc.custom oder in onlinechanged oder mit einem Script machen. Dann kann knockd an dsl:0 lauschen.

 

[cuma]

Die IP ist knockd ja egal. Mit "routen von Ports" meint er aber wohl freigeben, und das muss man machen, da sonst wie gesagt nichts funktioniert

 

[DG279]

Ich glaube Kraftzwerg möchte, dass knockd sozusagen ausserhalb der FritzBox, also vor der Firewall, lauscht und "mithört" an welchen geschlossenen Ports geklopft wird um dann den für das Klopfzeichen vorgesehenen Port zu öffnen.

Das wird wohl nicht funktionieren.

Gruß, Dieter*

 

[kraftzwerg]

Genau das wollte ich Dieter.
So läuft knockd ja eigentlich auch, aber eben nicht auf einer fritzbox.
Ich hoffe, wenn ich iptables als Firewall einsetze sieht das anders aus.

Gruß
Thomas

 

[DG279]

Deshalb habe ich es so eingerichtet, dass ich mit Callmonitor bei Anruf die gewünschten Ports öffne.

Gruß, Dieter*