1

ラップトップとサーバー間のパケットをマーク(送信中)および照合(受信中)するためにiptables拡張機能(またはIPSecツール?)を使用してSSH識別を少し強化したいと思います。

サーバーとの通信中にIPオプションヘッダー(またはAHフィールド?)で追加情報を送信するためだけに、VPNは必要ありません。

Debian専用のiptablesプラグインを使用することで可能になるといいでしょう(最初にヘッダーを変更してから、リモートホスト内のキーを比較します)。

私は1日グーグルで検索し、プロトコルAHやESPのコンテンツを検査するなどのトピックを見つけました。iptables文字列照合フィルターを使用します。ペイロードのマングリングなど-しかし今のところ私は最も重要なことを理解できませんでした:両方のコンピュータにDebian用にインストールするパケット:)

私の夢は、SSHハンドシェイクが開始する前に、ポート22(内部に署名がない)でiptablesを使用して接続をブロックすることです。手伝ってくれませんか。

4

1 に答える 1

1

私は再び宿題をしましたが、オンラインの達人は、「グローバルネットワークを介して送信されている間も同じままである」ToSフィールドを使用するように私に言いました.

設定方法の例:

iptables -t mangle -A PREROUTING -p TCP --dport 22 -j TOS --set-tos 0x10

これは非常に小さなフィールド (256 ビット) であり、サービス情報で満たされているため、操作する余地はあまりなく、細心の注意を払う必要があります。それでも!..

その後、次のようなものを使用して、受信側のマシンで ToS 値を読み取ることができます。

iptables -A INPUT -p tcp -m tos --tos 0x16
于 2013-01-20T06:51:41.557 に答える