ہم نے آپ کو دکھایا ہے آپ کے روٹر پر "پورٹ دستک" کے ذریعہ WOL کو دور سے کیسے متحرک کریں . اس آرٹیکل میں ، ہم دکھائیں گے کہ وی پی این سروس کی حفاظت کے ل it اس کا استعمال کیسے کریں۔
بذریعہ تصویر ایواد روی & bfick .
دیباچہ
اگر آپ نے استعمال کیا ہے
DD-WRT فعالیت میں بنایا گیا
VPN یا ، کے لئے
ایک اور وی پی این سرور
آپ کے نیٹ ورک میں ، آپ اسے دستک تسلسل کے پیچھے چھپا کر اسے زبردستی فورس کے حملوں سے بچانے کی صلاحیت کی تعریف کر سکتے ہیں۔ ایسا کرنے سے ، آپ اسکرپٹ کڈیز کو فلٹر کریں گے جو آپ کے نیٹ ورک تک رسائی حاصل کرنے کی کوشش کر رہے ہیں۔ اس کے ساتھ ، جیسا کہ پچھلے مضمون میں کہا گیا ہے ، بندرگاہ کی دستک کسی اچھے پاس ورڈ اور / یا سیکیورٹی پالیسی کی جگہ نہیں ہے۔ یاد رکھیں کہ کافی صبر و تحمل کے ساتھ ایک حملہ آور تسلسل کو دریافت کرسکتا ہے اور دوبارہ چلانے والا حملہ کرسکتا ہے۔
یہ بھی ذہن میں رکھیں ، کہ اس پر عمل درآمد کا منفی پہلو یہ ہے کہ جب کوئی VPN مؤکل / رابطہ قائم کرنا چاہتا ہے تو ، ان کو دستک کی ترتیب کو متحرک کرنا پڑے گا۔
پہلے سے
اور یہ کہ اگر وہ کسی بھی وجہ سے تسلسل کو مکمل نہیں کرسکتے ہیں تو ، وہ بالکل بھی VPN نہیں کرسکیں گے۔
جائزہ
* VPN سروس کی حفاظت کے ل we ہم پہلے 1723 کی بندرگاہ کو مسدود کرکے اس کے ساتھ ہر ممکنہ مواصلات کو غیر فعال کردیں گے۔ اس مقصد کو حاصل کرنے کے ل we ، ہم iptables استعمال کریں گے۔ اس کی وجہ یہ ہے کہ عام طور پر زیادہ تر جدید لینکس / GNU تقسیم پر اور خاص طور پر DD-WRT پر مواصلت کو فلٹر کیا جاتا ہے۔ اگر آپ iptables چیکآاٹ کے بارے میں مزید معلومات چاہتے ہیں تو وکی اندراج ، اور ایک نظر ڈالیں ہمارا پچھلا مضمون اس موضوع پر. ایک بار جب خدمت محفوظ ہوجائے گی ، تو ہم ایک دستک ترتیب پیدا کریں گے جو VPN انسٹیٹیٹنگ بندرگاہ کو عارضی طور پر کھولے گا اور پہلے سے قائم VPN سیشن کو مربوط رکھتے ہوئے ، مقررہ وقت کے بعد خود بخود اسے بند کردے گا۔
نوٹ: اس گائیڈ میں ، ہم پی پی ٹی پی وی پی این سروس کو بطور مثال استعمال کر رہے ہیں۔ اسی طرح ، وی پی این کی دوسری اقسام کے لئے بھی یہی طریقہ استعمال کیا جاسکتا ہے ، آپ کو صرف مسدود شدہ بندرگاہ اور / یا مواصلات کی قسم تبدیل کرنا ہوگی۔
شرطیں ، مفروضات اور سفارشات
- یہ فرض کیا جاتا ہے / ضروری ہے کہ آپ کے پاس Opkg نے DD-WRT روٹر کو فعال کیا .
- یہ فرض کیا جاتا ہے / ضروری ہے کہ آپ نے پہلے ہی " اپنے نیٹ ورک میں کس طرح دستک لگائیں (DD-WRT) " رہنما.
- کچھ نیٹ ورکنگ علم فرض کیا جاتا ہے۔
کریکنگ کرنے دیتا ہے۔
پہلے سے طے شدہ DD-WRT پر "نئے VPNs کو مسدود کریں" کا قاعدہ
اگرچہ "کوڈ" کا ذیل میں ٹکڑا شاید ہر ، خود اعتمادی ، استعمال کرنے والے iptables ، لینکس / GNU تقسیم پر کام کرے گا ، کیوں کہ وہاں بہت ساری قسمیں موجود ہیں ہم صرف DD-WRT پر استعمال کرنے کا طریقہ دکھائیں گے۔ اگر آپ چاہیں تو ، براہ راست VPN باکس پر عمل درآمد کرنے سے آپ کو کچھ نہیں روک رہا ہے۔ تاہم ، ایسا کرنے کا طریقہ ، اس ہدایت نامہ کے دائرہ کار سے باہر ہے۔
چونکہ ہم روٹر کے فائر وال کو بڑھانا چاہتے ہیں ، لہذا یہ صرف منطقی بات ہے کہ ہم "فائر وال" اسکرپٹ میں شامل کریں گے۔ ایسا کرنے سے ، ہر وقت فائر وال کو تازہ دم کرنے پر آئی پی ٹیبلز کمانڈ پر عمل درآمد شروع ہوجائے گا اور اس طرح ہمارے اضافے کو اپنی جگہ برقرار رکھے گا۔
DD-WRT ویب GUI سے:
-
"انتظامیہ" -> "احکامات" پر جائیں۔
-
ٹیکسٹ باکس میں نیچے "کوڈ" درج کریں:
inline = "$ (iptables -L INPUT -n | grep -n" ریاست سے متعلق ، ESTABLISHED "| awk -F: {'print $1'})"؛ ان لائن = $ ((line ان لائن -2 + 1))؛ iptables -I INPUT "$ ان لائن" -p tcp --dport 1723 -j DROP - "فائر وال کو محفوظ کریں" پر کلک کریں۔
- ہو گیا
یہ "ووڈو" کیا حکم ہے؟
مذکورہ بالا "ووڈو جادو" کمانڈ مندرجہ ذیل کام کرتا ہے:
- ڈھونڈتا ہے کہ iptable لائن کہاں ہے جو پہلے سے قائم مواصلات کو گزرنے کے قابل بناتی ہے۔ ہم یہ کام کرتے ہیں ، کیونکہ اے ڈی ڈی-ڈبلیو آر ٹی روٹرز پر ، اگر وی پی این سروس فعال ہے تو ، یہ اس لائن اور بل کے بالکل نیچے واقع ہوگی۔ یہ ہمارے مقصد کے لئے ضروری ہے کہ پہلے سے قائم وی پی این سیشن کو اس کے بعد رہنے کی اجازت دے۔ دستک ایونٹ
- معلوماتی کالم ہیڈروں کی وجہ سے آفسیٹ کے لئے اکاؤنٹنگ کے لسٹنگ کمانڈ کی پیداوار سے دو (2) نکالتا ہے۔ ایک بار جب یہ کام ہوجائے تو ، مذکورہ نمبر میں ایک (1) شامل کریں ، تاکہ جو قاعدہ ہم داخل کررہے ہیں وہ اس قاعدے کے بعد آئے گا جو پہلے سے قائم مواصلات کی اجازت دیتا ہے۔ میں نے یہاں یہ بہت آسان "ریاضی کا مسئلہ" چھوڑ دیا ہے ، صرف یہ منطق بنانے کے لئے کہ "کیوں کسی کو کسی کو اس میں شامل کرنے کے بجائے اسے اصول کی جگہ سے کم کرنے کی ضرورت ہے"۔
دستک ڈی تشکیل
ہمیں ایک نیا محرک تسلسل تخلیق کرنے کی ضرورت ہے جو نئے VPN کنیکشن کو تخلیق کرنے کے قابل بنائے گی۔ ایسا کرنے کے لئے ، ٹرمینل میں جاری کرکے knockd.conf فائل میں ترمیم کریں:
vi /opt/etc/knockd.conf
موجودہ ترتیب میں شامل کریں:
٩٠٠٠٠٠٣
ترتیب = 02،02،02،01،01،01،2010،2010،2010
seq_timeout = 60
start_command = iptables -I INPUT 1 -s٪ IP٪ -p tcp --dport 1723 -j ACCEPT
سینٹی میٹر_ٹائم آؤٹ = 20
اسٹاپ_کمانڈ = آئی پی ٹیبلز -D انپٹ -s٪ آئی پی٪ -p ٹی سی پی - ڈپورٹ 1723 -ج ACCEPT
یہ تشکیل یہ ہوگی:
- تسلسل کو مکمل کرنے کے لئے موقع کی ونڈو کو 60 سیکنڈ تک طے کریں۔ (اس کی سفارش کی گئی ہے کہ اسے ہر ممکن حد تک مختصر رکھیں)
- بندرگاہ 2 ، 1 اور 2010 پر تین دستک کا سلسلہ سنیں (بندرگاہوں کے اسکینرز کو ٹریک سے دور کرنے کے لئے یہ حکم دانستہ ہے)۔
- ایک بار جب تسلسل کا پتہ چلا تو ، "start_command" کو عمل میں لائیں۔ یہ "آئی پی ٹیبلز" کمانڈ فائر وال کے قواعد کے اوپری حصے میں "قبول ٹریفک کو مقصود 1723 کی بندرگاہ پر رکھے گی جہاں سے دستک آئے تھے"۔ (٪ IP٪ ہدایت کا خاص طور پر KnockD کے ذریعہ سلوک کیا جاتا ہے اور دستک کی ابتداء کے IP سے تبدیل کیا جاتا ہے)۔
- "اسٹاپ_کمانڈ" جاری کرنے سے پہلے 20 سیکنڈ انتظار کریں۔
- "اسٹاپ_کمانڈ" پر عمل کریں۔ جہاں یہ "آئی پی ٹیبلز" کمانڈ مذکورہ بالا کو الٹ کرتا ہے اور اس قاعدے کو حذف کرتا ہے جس سے مواصلات کی اجازت ملتی ہے۔
مصنف کے اشارے
جب آپ سب کو تیار رہنا چاہئے تو ، یہاں ایک دو نکات ہیں جن کے بارے میں مجھے ذکر کرنا ضروری ہے۔
- خرابیوں کا سراغ لگانا. یاد رکھیں کہ اگر آپ کو پریشانی ہو رہی ہے تو ، آخر کے آخر میں "خرابیوں کا سراغ لگانا" طبقہ ہے پہلا مضمون آپ کا پہلا اسٹاپ ہونا چاہئے۔
- اگر آپ چاہتے ہیں تو ، آپ کو "اسٹارٹ / اسٹاپ" کی ہدایتیں ایک سے زیادہ کمانڈوں کو سیمی کولن (؛) یا حتی اسکرپٹ سے الگ کرکے عمل میں لاسکتی ہیں۔ ایسا کرنے سے آپ کچھ نفٹی چیزیں کر سکیں گے۔ مثال کے طور پر ، میں نے مجھے ایک ای میل بھیجنا شروع کیا ہے جس میں مجھے بتایا گیا ہے کہ تسلسل کو شروع کیا گیا ہے اور کہاں سے ہے۔
- اسے مت بھولنا اس کے لئے ایک ایپ موجود ہے "اور اگرچہ اس مضمون میں اس کا ذکر نہیں کیا گیا ہے ، آپ کو گرفت میں لینے کی ترغیب دی جارہی ہے اسٹیو ایف ایکس کے Android ہے دستک پروگرام .
- اینڈروئیڈ کے موضوع پر رہتے ہوئے یہ نہ بھولیئے کہ یہاں ایک پی پی ٹی پی وی پی این کلائنٹ ہے جو عام طور پر ڈویلپر کی جانب سے او ایس میں بنایا جاتا ہے۔
- ابتدائی طور پر کسی چیز کو مسدود کرنا اور پھر پہلے سے قائم مواصلات کی اجازت دینا جاری رکھنے کا طریقہ عملی طور پر کسی بھی TCP پر مبنی مواصلات پر استعمال کیا جاسکتا ہے۔ حقیقت میں DD-WRT 1 ~ 6 پر دستک دی موویز ، میں نے اس وقت واپس آ لیا جب ، میں نے ریموٹ ڈیسک ٹاپ پروٹوکول (آر ڈی پی) استعمال کیا ہے جس میں مثال کے طور پر پورٹ 3389 استعمال ہوتا ہے۔
