单包授权fwknop的使用

由免费的微程序引证:我都是小生

为了解决您的问题, 首先我们需要理解fwknop 的基本概念。 FWKnop 是NAT渗透的安全工具, 它允许外部主机通过向防火墙( 通常是内部网络服务器的端口) 发送特定的 UDP 数据包来临时打开防火墙上的门户。 这通常用于远程管理目的, 如 SSH 访问 。

对于第一个问题,如何使并非同一局域网的客户获得单一一揽子授权,可通过以下步骤:

在 Webserver 上配置 fwknopt 服务。 在路由器上设置端口转发规则。 客户端生成密钥并配置 fwknop 客户端 。

具体步骤如下:

第1步:在网络服务器上安装和配置 fwknopt

确保将fwknopd安装在网络服务器上。 否则,以下命令(基于Debian/Ubuntu系统)可用于安装:

然后编辑文件并添加新策略。 例如, 为端口 80 创建策略 :

保存和退出后, 开始 fwknopd 服务 :

第2步:就路由器制定港口转运规则

在路由器上,将公共网络的端口(例如,您可以选择56789)映射到内部网络的网络服务器端口(80)。根据路由器的类型,您通常可以在路由器的管理界面找到 " 港口转发 " 或 " 虚拟服务器 " 选项。

步骤 3 : 在客户端生成密钥并配置 fwknop

在客户机上也需要安装 fwknop 。 然后使用以下命令生成关键文件并提供网络服务器的公开 IP 地址和先前定义的战略名称 :

下一步配置 fwknop 客户端。 安装后, 运行以下命令以连接到 Webserver 并执行策略 :

这样,当客户端执行上述命令时,向网络服务器发送一个 UDP 数据包,以启动保单中定义的服务重新启动。

至于您的第二个问题,客户端不必在客户端生成密钥文件时指定客户端 IP 。 举例来说, 我们没有指定客户端 IP, 而是将其作为通配符使用, 这意味着任何主机都可以使用密钥触发保单。 但是, 为了改进安全性, 您可以将字段设置为允许的具体IP 列表。 例如 :

在这个例子中,只接受192.168.1.100和192.168.1.101的请求。

注:在实际生产环境中,建议出于安全原因使用SSL/TLS加密通信,关键文件仅限受信任用户使用,同时定期更换钥匙也是良好做法。

注册有任何问题请添加 微信：MVIP619 拉你进入群

文章转载注明 网址：https://netpsp.com/?id=67836