我想使用 iptables 扩展(或 IPSec 工具?)来增强 SSH 识别能力,用于标记(发送时)和匹配(接收时)我的笔记本电脑和我的笔记本电脑之间的数据包服务器。
我不需要 VPN,只是在与服务器通信时发送 IP 选项 header (或 AH 字段?)中的附加信息。
如果可以仅使用适用于 Debian 的 iptables 插件(首先更改 header ,然后比较远程主机上的 key ),那就太好了。
我用 google 搜索了一天,找到了诸如检查内容协议(protocol) AH 和 ESP 之类的主题;使用 iptables 字符串匹配过滤器;有效负载修改等 - 但现在我无法理解最重要的事情:在两台计算机上为 Debian 安装哪个数据包:)
我的梦想是在 SSH 握手开始之前在端口 22(内部没有签名)上使用 iptables 阻止连接。你能帮我一下吗?
最佳答案
我又做了功课,网上的高手告诉我使用ToS字段,“在全局网络上传输时它保持不变”。
如何设置的示例:
iptables -t mangle -A PREROUTING -p TCP --dport 22 -j TOS --set-tos 0x10
而且它是一个非常小的字段(256 位),充满了服务信息,因此没有太多空间可以使用,您必须非常小心。但仍然!..
然后可以使用类似的方法在接收计算机上读取 ToS 值
iptables -A INPUT -p tcp -m tos --tos 0x16
关于header - 如何使用 iptables 扩展标记发送到服务器的数据包?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14293977/