Nezkousel tu nekdo nastavit port knock na openvpn? Chtel bych v idealnim pripade mit z venku otevreny jen port na ssh honeypot a port pro openvpn jen po zaklepani na urcitou sekvenci. Pripadne nezvazuje se tato moznost v nejake budouci verzi forisu?
2 Likes
Je k dispozici tenhle balicek “luci-app-fwknopd” takze by to melo jit pres Luci.
neni tu nekdo kdo fwknopd pouziva a pomohl by s nastavenim? nainstaloval sem “fwknopd” a “luci-app-fwknopd”, v luci se objevilo services -> firewall knock daemon
tam sem nechal vsechno default a jenom povolil config overwrite a do open ports dal udp/1194
na vpn se ale pripojim i bez “zaklepani” a kdyz sem si udelal z venku quick scan pomoci zenmap tak nasel otevreny 22 (honeypot), 23 (telnet - default ma byt otevreny?), 3128 (squid-http) + 8080 (http-proxy) a pritom zadnou proxy nepouzivam
chtel bych se dostat do stavu kdy bude otevreny jen honeypot a po zaklepani pouze vpn
update: port knock sam o sobe funguje, kdyz poslu z klienta SPA packet tak vidim v logu ze ho prijal a prida se access rule. takze problem bude asi jen v nastaveni firewallu, ze je vpn dostupna i bez zaklepani
Tak vyreseno, problem byla jen vyjimka ve firewallu co povoluje vpn port vzdy. A porty 23+3128+8080 sem nasel ve firewallu v chain ucollect_fake tak predpokladam, ze je vyuziva interne ucollect a nejedna se o zadne riziko.
Kdyztak pro ostatni pridavam kompletni postup:
System -> Software
- nainstalovat fwknopd + luci-app-fwknopd
Services -> Firewal Knock Daemon
- check Enable config overwrite
- open_ports: udp/1194
Network -> Firewall -> Traffic rules
- zrusit enable pro “vpn_turris_rule”
Klient pro win / linux / mac / android
https://incomsystems.biz/fwknop-gui/index.php
3 Likes