深入了解fwknop:功能、应用与安全防护
1. fwknop与iptables规则
fwknop操作的规则与现有iptables策略中的规则相互独立,这意味着你无需担心fwknop规则与iptables规则发生冲突。在30秒计时器到期之前,你可以在fwknop服务器上执行以下命令,查看授予对SSHD访问权限的iptables规则:
[root@spaserver ~]# fwknopd --fw-list [+] Listing chains from IPT_AUTO_CHAIN keywords... Chain FWKNOP_INPUT (1 references) pkts bytes target prot opt in out source destination 11 812 ACCEPT tcp -- * * 204.23.X.X 0.0.0.0/0 tcp dpt:22在这个例子中,fwknop服务器重新配置了iptables,允许在30秒内访问SSHD;30秒后,fwknopd将从FWKNOP_INPUT链中删除ACCEPT规则。虽然大多数SSH连接持续时间超过30秒,但只要使用Netfilter连接跟踪功能,允许客户端和服务器之间已建立的TCP连接保持打开状态,这就不是一个严重的限制:
[root@spaserver ~]# iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
