V2EX › timothyye 的所有回复 › 第 3 页 / 共 173 页

@8520ccc @xianzhe 不过按照现在的实现，服务端检查客户端的敲门行为是在 TCP 握手的第一阶段，客户端向服务器发送一个 SYN （同步）数据包的时候，这样服务端不用去监听任何端口，也不用占用任何端口。至于如果这种 TCP 握手的包被记录下来重放的话，那应该是防范不了。不过这里提到的密钥加密是指要加密这种 SYN 的数据包吗？

其实如果就算通过流量重放敲门正确打开了服务端的端口，比如 ssh 端口，ssh 本身也有自己的保护和认证。这种端口敲门主要的场景还是防止互联网上大批量的端口扫描和密码暴力猜解的行为。

297 天前

回复了 timothyye 创建的主题 › 分享创造 › 用 Rust 实现的端口敲门工具: Knock

@a1210968738 这样的话相当于封装了个 iptables 的网页版的功能？

298 天前

回复了 timothyye 创建的主题 › 分享创造 › 用 Rust 实现的端口敲门工具: Knock

@Motorola3 #21 有的，一般就是 VPS 里面绑定公网 IP 那个网卡，你可以用 ifconfig 看看。我测试这个服务端就是用的 VPS

298 天前

回复了 timothyye 创建的主题 › 分享创造 › 用 Rust 实现的端口敲门工具: Knock

@Motorola3 实现逻辑就是服务端程序监听网卡的原始流量包，根据配置文件中被配置为敲门的端口，过滤出客户端 IP ，当一个客户端连续按照顺序连接这些敲门端口的时候，就可以匹配到对应的规则了，然后后端程序会去执行规则配置好的操作 iptables 的命令，打开被保护的 SSH ，或者其他端口。并且这个端口通过 iptables 命令设置成只允许这个敲门的客户端的 IP 去连接。由于服务端是过滤网卡的数据包，所以不需要监听任何端口，也不占用任何端口。

敲门不是走 80/443 ，是服务端程序直接监听网卡的数据包。

298 天前

回复了 MarshmelloX3X 创建的主题 › 旅行 › 求推荐旅行背包

去年买了个 30L 的 PeakDesign 的旅行包，背出去旅行了一圈，感觉还不错

https://i.imgur.com/pMyENSG.png

https://global.peakdesign.com/collections/all-bags/products/travel-backpack-30l?variant=39599894724685

298 天前

回复了 lynan 创建的主题 › 分享发现 › 说说你们现在用了哪些不错的免费服务吧

@lynan #18 确实，我上面就跑了一个 Nginx

298 天前

回复了 timothyye 创建的主题 › 分享创造 › 用 Rust 实现的端口敲门工具: Knock

@fenglangjuxu 是这样的，这个概念 Wikipedia 上有详细的介绍 https://en.wikipedia.org/wiki/Port_knocking

298 天前

回复了 timothyye 创建的主题 › 分享创造 › 用 Rust 实现的端口敲门工具: Knock

@Autonomous #15 嗯，是这样的，host 模式，然后启动的时候需要给容器一些特殊的权限。