Hi,
einen CS Server kann man wunderbar mit fail2ban und Firewall-Scripte absichern. Super! Zusätzlich noch von jedem Client eine dyndns Adresse geben lassen und per Firewall/CCcam nur von der dyndns Adresse Verbindungen zulassen. STARK :emoticon-0165-muscl
Jetzt habe ich mir überlegt: Wenn auf fast jedem Receiver Linux läuft, könnte man knockd auf dem Server installieren. Ich bin nicht mehr sicher ob das mit telnet auch funktioniert...
Wem nicht klar ist was knockd ist...
...knockd: knockd ist ein kleines nettes Porgramm, was auf bestimmte Ports:TCP/UDP hört und bei ankommende Pakete auf den Ports ein Iptables-Script ausführt.
Beispiel:
CONFIG:
[options]
logfile = /var/log/knockd.log
[opencloseCS]
sequence = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn --dport 12000 -j ACCEPT
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn --dport 12000 -j ACCEPT
Wenn jetzt z.B. von der DBOX2 Pakete via "telnet(ist noch zu klären)" innerhalb von 15 Sekunden (seq_timeout) zum CS Server auf Port 2222:udp,3333:tcp und danach 4444:udp geschickt wird (sequence),
macht knockd den Port 12000 für die IP-Adresse der DBOX2 (start_command) für 5 Sekunden (cmd_timeout) auf. Nach 5 Sekunden wird der Eintrag in der Firewall mit dem zweitem Script (stop_command) gelöscht.
Das ganze könnte man anstatt auf 5 Sekunden auf 30 Minuten setzen und auf der DBOX2 via cronjob ausführen lassen.
Was halltet ihr davon? Ist eigentlich eine nette Sache oder?
einen CS Server kann man wunderbar mit fail2ban und Firewall-Scripte absichern. Super! Zusätzlich noch von jedem Client eine dyndns Adresse geben lassen und per Firewall/CCcam nur von der dyndns Adresse Verbindungen zulassen. STARK :emoticon-0165-muscl
Jetzt habe ich mir überlegt: Wenn auf fast jedem Receiver Linux läuft, könnte man knockd auf dem Server installieren. Ich bin nicht mehr sicher ob das mit telnet auch funktioniert...
Wem nicht klar ist was knockd ist...
...knockd: knockd ist ein kleines nettes Porgramm, was auf bestimmte Ports:TCP/UDP hört und bei ankommende Pakete auf den Ports ein Iptables-Script ausführt.
Beispiel:
CONFIG:
[options]
logfile = /var/log/knockd.log
[opencloseCS]
sequence = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn --dport 12000 -j ACCEPT
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn --dport 12000 -j ACCEPT
Wenn jetzt z.B. von der DBOX2 Pakete via "telnet(ist noch zu klären)" innerhalb von 15 Sekunden (seq_timeout) zum CS Server auf Port 2222:udp,3333:tcp und danach 4444:udp geschickt wird (sequence),
macht knockd den Port 12000 für die IP-Adresse der DBOX2 (start_command) für 5 Sekunden (cmd_timeout) auf. Nach 5 Sekunden wird der Eintrag in der Firewall mit dem zweitem Script (stop_command) gelöscht.
Das ganze könnte man anstatt auf 5 Sekunden auf 30 Minuten setzen und auf der DBOX2 via cronjob ausführen lassen.
Was halltet ihr davon? Ist eigentlich eine nette Sache oder?