Comments 40
Обожаю питоновские однострочники. На python можно писать как на perl ;)
Решал то же самое просто ретрансляцией magic пакета полученного извне на широковещательный адрес локалки.
Можно любой ПК включать, а не прибитый в конфиге mac.
Просто настроил на роутере ВПН-сервер, и включаю\захожу откуда угодно как у себя в локалке)
Тут было про
Кнокинг
;)
Это скрывает все порты, все компы.
Кнокинг скрывает открытые порты на внешнем интерфейсе, а в случае с ВПН-сервером на внешнем интерфейсе достаточно держать открытым порт ВПН-сервера. Если совсем не хочется ничего светить, то и его тоже можно скрыть\открыть кнокингом, и никаких скриптов не нужно.
Именно так! В моем случае даже RDP попой в инет торчит, но надежно прикрыт кноком! Так как некогда включать vpn, и работа его в дороге работает крайне нестабильно. А напрямую - вполне жить можно.
для RDP и передачи файлов юзаю ssh сервер Bitvise - бесплатен для частного использования, ставится под винду, прост в настройке, имеет свои алгоритмы сжатия (скорость при передачи файлов очень приятная), защита от DoS и.т.д. - и всё это работает по шустрому ssh тоннелю, что очень радует на "тугих" каналах, где rdp часто отваливается.
ключевое слово - статический ip.
анидеск поставил и не парюсь.
ему пофиг на статику.
Если роутер на OpenWRT, то просто коннект по ssh с выполнением команды etherwake с MAC-адресом NIC ПК в качестве аргумента. Так банально, что статью не написать.
А вы любите рисковать я смотрю - выставлять ssh роутера наружу. Даже если там по сертификатам вход.
У автора ещё хуже - дырявый микротик
Сейчас я вам накину фактов для информации.
SSH на роутере открыт в мир более 15 лет.
SSH висит на нестандартном порту с 5-значным номером.
Логин от рута отключен.
Также на роутере есть скрипт, который при первой же проваленной попытке аутентификации отправляет на отдельный "технический" почтовый ящик сообщение о неудачной попытке входа и атрибутах коннекта - логин, IP.
За всё время эксплуатации этой связки не было буквально ни одного сообщения о неудачных попытках подключения, кроме тех, которые инициированы мной в качестве тестов.
Чувства от этого всего как в анекдоте: "- 5 раз. - А она? - А она не пришла..."
Как такое возможно?) У меня тоже ssh на 5-ти значном порту, каждый день на него стучатся боты. У меня 3 листа, если неудачная авторизация то добавляется в первый лист на 12 часов, если ещё раз неудачная в течении этих 12, то добавляется во второй на 12 часов, и также в третий, если ещё одна неудачная и ip есть в третьем, то на 30 дней в блок. И у меня сейчас в листе блока 22 IP.
Не знаю. Просто оно так. Может у вас порт недостаточно пятизначный? Например какой-нибудь популярный 10080 или 10808 вместо 57952? Первые два из примера щупают все кому не лень.
Вот лог самый свежий. Все сообщения о коннекте с локального IP - это мой Zabbix порты щупает. Последнее сообщение -это я на роутер зашёл. А больше в логе ничего нет...
Лог
Sun Dec 15 10:17:38 2024 authpriv.info dropbear[5991]: Child connection from 192.168.1.116:54212
Sun Dec 15 10:17:38 2024 authpriv.info dropbear[5991]: Exit before auth from <192.168.1.116:54212>: Exited normally
Sun Dec 15 10:22:38 2024 authpriv.info dropbear[6051]: Child connection from 192.168.1.116:50530
Sun Dec 15 10:22:38 2024 authpriv.info dropbear[6051]: Exit before auth from <192.168.1.116:50530>: Exited normally
Sun Dec 15 10:27:38 2024 authpriv.info dropbear[6086]: Child connection from 192.168.1.116:56334
Sun Dec 15 10:27:38 2024 authpriv.info dropbear[6086]: Exit before auth from <192.168.1.116:56334>: Exited normally
Sun Dec 15 10:32:38 2024 authpriv.info dropbear[6140]: Child connection from 192.168.1.116:35138
Sun Dec 15 10:32:38 2024 authpriv.info dropbear[6140]: Exit before auth from <192.168.1.116:35138>: Exited normally
Sun Dec 15 10:37:38 2024 authpriv.info dropbear[6187]: Child connection from 192.168.1.116:33992
Sun Dec 15 10:37:38 2024 authpriv.info dropbear[6187]: Exit before auth from <192.168.1.116:33992>: Exited normally
Sun Dec 15 10:42:38 2024 authpriv.info dropbear[6231]: Child connection from 192.168.1.116:33424
Sun Dec 15 10:42:38 2024 authpriv.info dropbear[6231]: Exit before auth from <192.168.1.116:33424>: Exited normally
Sun Dec 15 10:47:38 2024 authpriv.info dropbear[6284]: Child connection from 192.168.1.116:54548
Sun Dec 15 10:47:38 2024 authpriv.info dropbear[6284]: Exit before auth from <192.168.1.116:54548>: Exited normally
Sun Dec 15 10:52:38 2024 authpriv.info dropbear[6328]: Child connection from 192.168.1.116:41320
Sun Dec 15 10:52:38 2024 authpriv.info dropbear[6328]: Exit before auth from <192.168.1.116:41320>: Exited normally
Sun Dec 15 10:52:56 2024 authpriv.info dropbear[6333]: Child connection from 192.168.1.101:6097
Sun Dec 15 10:52:56 2024 authpriv.notice dropbear[6333]: Pubkey auth succeeded for 'REDACTED' with ssh-ed25519 key SHA256:Un/v6wn7CuwREDACTED5+5/wluTREDACTEDgaoU8n9U from 192.168.1.101:6097
1 Тоже накину немного, одна компания пригласила подработать, ровно через несколько дней как им пришел неадекватный счет за телефонию, во время разбора что случилось, еще почти в каждом компе обнаружил кликеров платных ссылок. Я к чему - я вообще не понимаю зачем делать дырки, списки, чего-то отслеживать, не спать ?
2 Если роутер за НАТом провайдера, это не плохо для защиты, но не панацея, ведь в локалке провайдера тоже есть люди, которые шарят в сетях... Я считаю, что никаких вольностей и русских авось не должно быть. Потому что если "палка" выстрелит, то очень громко и скорее всего больно!
3 Статья то вообще об удаленном включении компа...
Затем, что мы говорим про домашний роутер. Иногда доступ к нему нужен снаружи. Как это делать и какие риски нести - каждый решает сам.
Лично я доверяю проверенным в боевых условиях решениям, которые благодаря агрессивной среде, в которой они находятся, имеют наивысшую из возможных степень защиты, вылизанный оптимизированный и своевременно обновляющийся код, находящийся в открытом доступе и прошедший многочисленные аудиты. Я говорю про OpenSSH, dropbear и иже с ними.
Если кто-то вместо этого использует чужой проприетарный сервис типа AnуDesk - это его выбор. При условии что тот, кто это делает, вообще понимает, что гоняет свой трафик через сервера третьего лица и у этого лица есть все возможности быть MITM хотя бы для "просто почитать и посмотреть на скриншоты того, что вы там по сети гоняете".
код, находящийся в открытом доступе и прошедший многочисленные аудиты. Я говорю про OpenSSH,
Было немного смешно. Про баги 10-летней выдержки, которые пару лет назад пофикшены в openssl, вы не слышали? Может этот код прошел какой то аудит, а может и нет. А может в него вольют что-то интересное через атаку на поставки. Как в openssh через уязвимость в библиотеке сжатия, недавно.
OpenSSH
CVE-2024-6387
Для того чтобы проэксплуатировать уязвимость, атакующий должен совершить в среднем 10 тысяч попыток аутентификации, а атакуемая система должна быть построена на базе версий Linux, использующих библиотеку Gnu C (glibc), — например, на всех сортах ОС Debian. При этом важно подготовить структуры памяти в расчете на конкретную версию библиотеки glibc и Linux.
Ну успехов💩
У меня лет 20 уже SSH проброшен на домашний сервер. Судя по логам fail2ban, войти по ключу там ещё ни разу никто не пытался. А авторизация по паролю там отключена.
Вероятность взлома даже rsa 4096 намного меньше, чем вероятность взлома самого роутера. Я уже молчу о ed25519.
А иногда случаются вещи вроде CVE-2024-6387 и никакие ключи, пароли и fail2ban вас не спасут.
При использовании fail2ban шансы на эксплуатацию подобной уязвимости почти нулевые. Уж на роутерах уязвимостей было намного больше и встречаются они чаще. На 100% всё равно не защититесь. Можете сидеть всю жизнь в бункере, опасаясь попадания метеорита в голову. А я просто оцениваю риски.
Случаются, однако никто из-за этого SSH пользоваться не бросает.
Тем более, маловероятно, что-кто-то будет 6-8 часов непрерывно долбить ваш домашний роутер. Овчинка не стоит выделки.
Наконец, стоит выбирать вендоров, которые славятся длительной поддержкой и оперативным выруском патчей. Например, OpenWrt.
Ну, на серверах же ssh торчит наружу, и никто от этого не умер. Если там разрешен только вход по ключу, то никаких проблем.
Если коротко: в биосе данная функция должна быть активирована и в драйвере сетевой включен прием магик-пакета. По этой теме много статей в инете, ничего сложного.
Статья прикольная, но одного не пойму: а зачем компьютер выключать?)))
Сколько сложностей, чтобы сделать WoL...
А на OpenWRT можно даже за NAT провайдера и без VPN сделать это минимум десятком способов.
Какие сложности? И причем тут OWRT, если тема про микроты? Честно говоря рассмешил.. . Меряются интимными местами в другом месте!
Честно говоря рассмешил..
А Ваш комментарий не смешной? Какие-то детское поведение и аналогии.
И причем тут OWRT, если тема про микроты?
Кто или что мешает сравнивать дурацкие интерфейс и реализацию "микротов" с другими? Уж не Вы ли?
Сравнения никакого не было, но было: а мой папа мэр...
Но раз есть чем хвастаться/сравнивать - напиши статью, где все 10 способов реализовал на OWRT. Плюсы и минусы разложи по полочкам, влияние интерфейса на все 10 способов wol за НАТ прова со скринами !
Вот реально полезное дело! Я бы точно на одном дыхании читал!
Удалённое включение компьютера бесплатно, без SMS и без облаков, с помощью Mikrotik Другая реализация