linux – 使用knockd with shorewall

我想将旧的纯iptables防火墙配置迁移到shorewall设置.我得到了基础知识,但我无法复制现有的敲门设置：

>我有一个’tmpknock’链打开一些端口,例如端口22,持续30秒(tmpknock链中同时允许多个IP,如果多人尝试同时登录！).
>我有一个’permknock’链,可以永久打开一些端口(例如80),但一次只能打开一个IP(当下一个尝试从不同的IP中敲响时,它会被替换 – 这允许我测试一些服务目前尚未向公众开放)

/etc/knockd.conf中的设置很简单：

[tmpAndPermKnock]
    sequence      = 10000,11000,12000
    seq_timeout   = 9
    tcpflags      = syn
    start_command = /sbin/iptables -I tmpknock -s %IP% -j ACCEPT; 
                    /sbin/iptables -F permknock;
                    /sbin/iptables -I permknock -s %IP% -j ACCEPT
    cmd_timeout   = 30
    stop_command  = /sbin/iptables -D tmpknock -s %IP% -j ACCEPT

现在我可以很容易地从我现有的链链接到这些链,例如：

iptables -A open-in -p tcp --dport 22 -j tmpknock
iptables -A open-in -p tcp --dport 80 -j permknock

如何将其与简单的海岸设置相结合？我真的刚刚开始使用shorewall,并且不知道如何跳转到我的锁链.我想,它会是这样的：

/ etc / shorewall / rules(不起作用)：

#ACTION         SOURCE        DEST      PROTO      DEST
JUMP(tmpknock)  net           fw        tcp        22
JUMP(permknock) net           fw        tcp        80

……但是http://shorewall.net/manpages/shorewall-rules.html没有JUMP行动……

解决方法

似乎没有一个很好的解决方案(嘘Shorewall)： – /似乎有两个选择：

>在Perl中编写自定义Shorewall模块.有一些关于使用recent match目标或使用manual chains编写实现敲击的模块的文档.
>写一个开始extension script(在Shorewall设置了所有规则后运行)将跳转规则插入INPUT链中的爆震链.

linux – 使用knockd with shorewall

解决方法

相关文章