Я пытаюсь понять, как демон, контролирующий порт, может отслеживать стуки, независимо от правил брандмауэра (например, принимать / отбрасывать / отклонять пакеты).
Я установил knockd, который прослушивает, скажем, последовательность стуков 42,42,42. Они сбрасываются моим брандмауэром iptables но knockd способен распознавать трафик и выполняет определенное действие. На сайте написано "knockd слушает на уровне канального уровня".
Как и где контролирует knockd для стуков?
knockd связывается с libpcap, так что он может наблюдать за трафиком по проводам так же, как любой другой анализатор, такой как tcpdump или wireshark. Это происходит на уровне до того, как правила iptables DROP (которые интегрируются со стеком IP) могут быть применены. Вот почему knockd может видеть входящий трафик, и если вы запустите tcpdump, он также сможет увидеть трафик.
Однако, если вы собираетесь запустить что-то, требующее libpcap, то вам может понадобиться что-то, что предлагает более сильные свойства безопасности, такие как простые последовательности стука. Однопакетная авторизация выполняет это.
