单包授权fwknop的使用
由免费的微程序引证:我都是小生
为了解决您的问题, 首先我们需要理解fwknop 的基本概念。 FWKnop 是NAT渗透的安全工具, 它允许外部主机通过向防火墙( 通常是内部网络服务器的端口) 发送特定的 UDP 数据包来临时打开防火墙上的门户。 这通常用于远程管理目的, 如 SSH 访问 。
对于第一个问题,如何使并非同一局域网的客户获得单一一揽子授权,可通过以下步骤:
在 Webserver 上配置 fwknopt 服务。 在路由器上设置端口转发规则。 客户端生成密钥并配置 fwknop 客户端 。
具体步骤如下:
第1步:在网络服务器上安装和配置 fwknopt
确保将fwknopd安装在网络服务器上。 否则,以下命令(基于Debian/Ubuntu系统)可用于安装:
然后编辑文件并添加新策略。 例如, 为端口 80 创建策略 :
保存和退出后, 开始 fwknopd 服务 :
第2步:就路由器制定港口转运规则
在路由器上,将公共网络的端口(例如,您可以选择56789)映射到内部网络的网络服务器端口(80)。根据路由器的类型,您通常可以在路由器的管理界面找到 " 港口转发 " 或 " 虚拟服务器 " 选项。
步骤 3 : 在客户端生成密钥并配置 fwknop
在客户机上也需要安装 fwknop 。 然后使用以下命令生成关键文件并提供网络服务器的公开 IP 地址和先前定义的战略名称 :
下一步配置 fwknop 客户端。 安装后, 运行以下命令以连接到 Webserver 并执行策略 :
这样,当客户端执行上述命令时,向网络服务器发送一个 UDP 数据包,以启动保单中定义的服务重新启动。
至于您的第二个问题,客户端不必在客户端生成密钥文件时指定客户端 IP 。 举例来说, 我们没有指定客户端 IP, 而是将其作为通配符使用, 这意味着任何主机都可以使用密钥触发保单。 但是, 为了改进安全性, 您可以将字段设置为允许的具体IP 列表。 例如 :
在这个例子中,只接受192.168.1.100和192.168.1.101的请求。
注:在实际生产环境中,建议出于安全原因使用SSL/TLS加密通信,关键文件仅限受信任用户使用,同时定期更换钥匙也是良好做法。
注册有任何问题请添加 微信:MVIP619 拉你进入群
打开微信扫一扫
添加客服
进入交流群
1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。