Verkkoon kytkeminen, osa 2: Suojaa VPN (DD-WRT)

Sep 11, 2025
Yksityisyys ja turvallisuus
SÄHKÖISETTÖTÖN SISÄLTÖ

Olemme osoittaneet sinulle kuinka käynnistää WOL etänä reitittimesi "Portin koputuksella" . Tässä artikkelissa näytetään, kuinka sitä käytetään VPN-palvelun suojaamiseen.

Kuva Aviad Raviv & bfick .

Esipuhe

Jos olet käyttänyt Sisäänrakennettu DD-WRT-toiminnallisuus VPN: ää varten tai toinen VPN-palvelin verkostossasi saatat arvostaa kykyä suojata sitä raakavoimien hyökkäyksiltä piilottamalla se koputusjakson taakse. Tällöin suodatat pois komentosarjan lapset, jotka yrittävät päästä verkkoon. Tämän sanottu, kuten edellisessä artikkelissa todettiin, portin koputtaminen ei korvaa hyvää salasanaa ja / tai suojauskäytäntöä. Muista, että riittävän kärsivällisesti hyökkääjä voi löytää jakson ja suorittaa uusintahyökkäyksen.
Muista myös, että tämän toteuttamisen haittapuoli on, että kun joku VPN-asiakas / asiakas haluaa muodostaa yhteyden, heidän on käynnistettävä koputusjärjestys etukäteen ja että jos he eivät pysty suorittamaan jaksoa jostain syystä, he eivät pysty lainkaan VPN: ään.

Yleiskatsaus

* VPN-palvelun suojaamiseksi poistamme ensin kaiken mahdollisen viestinnän sen kanssa estämällä 1723: n välittömän portin. Tämän tavoitteen saavuttamiseksi käytämme iptablesia. Tämä johtuu siitä, että tällä tavoin tiedonsiirto suodatetaan useimmissa nykyaikaisissa Linux / GNU-jakeluissa yleensä ja erityisesti DD-WRT: ssä. Jos haluat lisätietoja iptables-kassalle, sen wiki-merkintä ja katsokaa edellinen artikkeli aiheesta. Kun palvelu on suojattu, luomme koputusjakson, joka avaisi väliaikaisesti VPN-instantointiportin ja sulkisi sen myös automaattisesti määritetyn ajan kuluttua pitäen jo muodostetun VPN-istunnon yhteydessä.

Huomaa: Tässä oppaassa käytämme esimerkkinä PPTP VPN -palvelua. Tästä huolimatta samaa menetelmää voidaan käyttää muille VPN-tyypeille, sinun on vain vaihdettava estetty portti ja / tai viestintätyyppi.

Edellytykset, oletukset ja suositukset

  • Oletetaan / vaaditaan, että sinulla on Opkg-yhteensopiva DD-WRT-reititin .
  • Oletetaan / vaaditaan, että olet jo suorittanut vaiheet Kuinka koputtaa verkkoosi (DD-WRT) " opas.
  • Oletetaan jonkin verran verkostoitumista.

Antaa halkeilla.

Oletus "Estä uudet VPN: t" -sääntö DD-WRT: ssä

Vaikka alla oleva koodinpätkä todennäköisesti toimisi jokaisessa itsekunnioitavassa iptables-käyttöjärjestelmässä, Linux / GNU-jakelussa, koska siellä on niin paljon muunnelmia, näytämme vain, kuinka sitä käytetään DD-WRT: ssä. Mikään ei estä sinua, jos haluat, toteuttamasta sitä suoraan VPN-ruutuun. Tämän tekeminen on kuitenkin tämän oppaan ulkopuolella.

Koska haluamme laajentaa reitittimen palomuuria, on vain loogista, että lisäämme palomuuri-komentosarjaan. Tällöin iptables-komento suoritetaan joka kerta, kun palomuuri päivitetään, ja pitää siten lisäyksemme paikallaan säilyttämistä varten.

DD-WRT Web-GUI: sta:

  • Siirry kohtaan "Hallinta" -> "Komennot".
  • Kirjoita alla oleva "koodi" tekstiruutuun:

    inline = "$ (iptables -L INPUT -n | grep -n" tila RELATED, ESTABLISHED "| awk -F: {'print $1'})"; inline = $ (($ inline-2 + 1)); iptables -I SYÖTTÖ ​​"$ inline" -p tcp --portti 1723 -j DROP

  • Napsauta Tallenna palomuuri.
  • Tehty.

Mikä tämä “Voodoo” -komento on?

Yllä oleva "voodoo magic" -komento tekee seuraavat toimet:

  • Etsii missä on iptable-linja, joka mahdollistaa jo vakiintuneen tiedonsiirron. Teemme tämän, koska A. DD-WRT-reitittimissä, jos VPN-palvelu on käytössä, se sijaitsee juuri tämän rivin ja B. alapuolella. Tavoitteenamme on olennaisen tärkeää, että sallimme jo luotujen VPN-istuntojen jatkamisen kolkutin tapahtuma.
  • Vähentää kaksi (2) listauskomennon lähdöstä vastaamaan informaation sarakeotsikoiden aiheuttamaa siirtymää. Kun se on tehty, lisää yksi (1) yllä olevaan numeroon, jotta lisäämämme sääntö tulee heti sen säännön jälkeen, joka sallii jo vakiintuneen viestinnän. Olen jättänyt tämän hyvin yksinkertaisen "matemaattisen ongelman" tänne, vain selventämään logiikkaa "miksi yhden täytyy vähentää säännön sijasta sen lisäämisen sijasta".

KnockD-määritykset

Meidän on luotava uusi käynnistysjärjestys, joka mahdollistaa uusien VPN-yhteyksien luomisen. Voit tehdä tämän muokkaamalla knockd.conf-tiedostoa julkaisemalla päätelaitteessa:

vi /opt/etc/knockd.conf

Liitä nykyiseen kokoonpanoon:

[enable-VPN]
sekvenssi = 02,02,02,01,01,01,2010,2010,2010
seq_timeout = 60
start_command = iptables -I TULO 1 -s% IP% -p tcp --portti 1723 -j HYVÄKSY
cmd_timeout = 20
stop_command = iptables -D INPUT -s% IP% -p tcp --port 1723 -j HYVÄKSY

Tämä kokoonpano:

  • Aseta jakson loppuun saattamisen ikkuna 60 sekuntiin. (On suositeltavaa pitää tämä mahdollisimman lyhyt)
  • Kuuntele kolmen koputuksen sarjaa portteihin 2, 1 ja 2010 (tämä järjestys on tarkoituksellinen heittää porttiskannerit raiteilta).
  • Kun sekvenssi on havaittu, suorita “start_command”. Tämä "iptables" -komento asettaa "hyväksy liikenteen porttiin 1723, josta koput tulivat" palomuurisääntöjen yläosaan. (% IP% -direktiiviä käsittelee erityisesti KnockD ja se korvataan koputusten alkuperäisen IP: llä).
  • Odota 20 sekuntia, ennen kuin annat “stop_command”.
  • Suorita "stop_command". Missä tämä "iptables" -komento tekee päinvastoin kuin yllä ja poistaa yhteyden sallivan säännön.
Siinäpä, VPN-palvelusi pitäisi olla nyt yhdistettävissä vasta onnistuneen "koputuksen" jälkeen.

Kirjoittaja Vinkkejä

Vaikka sinun pitäisi olla kaikki asetettu, on muutama seikka, jotka mielestäni tarvitsevat mainita.

  • Ongelmien karttoittaminen. Muista, että jos sinulla on ongelmia, vianetsintä-segmentti lopussa ensimmäinen artikkeli pitäisi olla ensimmäinen pysäkki.
  • Halutessasi voit antaa “start / stop” -direktiivien suorittaa useita komentoja erottamalla ne semi-colenilla (;) tai jopa skriptillä. Näin voit tehdä hienoja juttuja. Esimerkiksi olen koputtanut lähettämään minulle * sähköpostin, jossa kerrotaan, että jakso on käynnistetty ja mistä.
  • Älä unohda Siellä on sovellus "Ja vaikka sitä ei mainita tässä artikkelissa, sinua kannustetaan tarttumaan StavFX Android kolkutinohjelma .
  • Android-sovelluksen suhteen älä unohda, että käyttöjärjestelmään on yleensä valmistajan sisäänrakennettu PPTP VPN -asiakas.
  • Menetelmää, jolla jotain estetään aluksi ja jatketaan sitten jo vakiintuneen tiedonsiirron sallimista, voidaan käyttää käytännössä missä tahansa TCP-pohjaisessa viestinnässä. Itse asiassa Knockd DD-WRT: ssä 1 ~ 6 elokuvia, olen palannut takaisin, kun olen käyttänyt etätyöpöytäprotokollaa (RDP), joka käyttää esimerkkinä porttia 3389.
Huomaa: Tätä varten sinun on hankittava reitittimellesi sähköpostitoiminto, joka ei tällä hetkellä todellakaan toimi, koska OpenWRT: n opkg-pakettien SVN-tilannekuva on epäjärjestyksessä. Siksi suosittelen knockd: n käyttämistä suoraan VPN-ruutuun, jonka avulla voit käyttää kaikkia Linux / GNU: ssa olevia sähköpostin lähetysvaihtoehtoja, kuten SSMTP ja lähettää sähköpostia mainita muutama.

Kuka häiritsee unta?

.entry-sisältö .entry-alatunniste

How To Setup VPN Server On DD-WRT Router. (PPTP)

HOPE X (2014): Securing A Home Router

How To Setup A VPN Server On Your Home Router Using DD-WRT

Yksityisyys ja turvallisuus - Suosituimmat artikkelit

LinkedIn-tietojen kerääminen sinulta

Yksityisyys ja turvallisuus Aug 14, 2025

SÄHKÖISETTÖTÖN SISÄLTÖ Chinnapong / Shutterstock LinkedIn on tarkoitus antaa urallesi vauhtia. Prosessissa se kerää kuitenkin paljon ti..

Kuinka poistaa henkilökohtaiset tietosi People-Finder-sivustoista

Yksityisyys ja turvallisuus Feb 11, 2025

fizkes / Shutterstock.com Internetissä oli aika, jolloin kukaan ei tiedä, olisitko koira, mutta nuo päivät ovat kauan menneet. Nyt on uskomat..

Windows-suojauksen suojauksen ottaminen käyttöön Windows 10: ssä

Yksityisyys ja turvallisuus Jun 10, 2025

Windows 10: n toukokuun 2019 päivitys tuo uuden suojauksen ominaisuuden Windows Securityyn, joka tunnetaan myös nimellä Windows Defenderin virustentorjunta ..

Facebook käyttää puhelinnumeroitasi mainosten kohdistamiseen, etkä voi pysäyttää sitä

Yksityisyys ja turvallisuus Sep 28, 2025

SÄHKÖISETTÖTÖN SISÄLTÖ Tekniset julkaisut huutavat tänään, että antamalla Facebookille puhelinnumerosi 2FA: ta varten he voivat kohdistaa sinut mainoksiin. Mutta tästä..

Windows Spectre -korjaustiedostot ovat täällä, mutta haluat ehkä odottaa

Yksityisyys ja turvallisuus Mar 20, 2025

SÄHKÖISETTÖTÖN SISÄLTÖ Tarvitset päivitetyn Intel-suorittimen mikrokoodin, jotta voit suojata tietokoneesi täysin Spectreltä. Tämän toimittaa yleensä tietokoneesi valm..

Kuinka estää Gmail lisäämästä tapahtumia Google-kalenteriin

Yksityisyys ja turvallisuus Apr 20, 2025

SÄHKÖISETTÖTÖN SISÄLTÖ Jos lennon tai hotellin kuitti lähetetään Gmail-tilillesi, tapaaminen lisätään automaattisesti Google-kalenteriin. Jotkut ihmiset pitävät tät..

Mistä Linux tietää, että uusi salasana on samanlainen kuin vanha?

Yksityisyys ja turvallisuus Jan 1, 2025

SÄHKÖISETTÖTÖN SISÄLTÖ Jos olet joskus saanut viestin siitä, että uusi salasanasi on liian samanlainen kuin vanha, saatat olla utelias selvittämään, kuinka Linux-järje..

Kuinka kirjautua ulos Facebook Messengeristä Android-laitteellasi

Yksityisyys ja turvallisuus Jul 5, 2025

SÄHKÖISETTÖTÖN SISÄLTÖ Siitä lähtien, kun Facebook päätti pakottaa ihmiset käyttämään Facebook Messengeria lähettämään ja vastaanottamaan viestejä Facebookin ka..

Luokat