ICMP открывашка портов для сервера

Имею парочку VDSок для различных нужд (почта, веб-сервер, хранилка и т.п.) так вот, возникла необходимость скрывать порты (22, 443 и т.п.) от посторонних глаз. Немного подумав (идея уже не новая), решил написать простенький, так сказать, ICMP knocker, то есть открытие портов по пингу. Но пингу не простому, а с определенным размером сообщения/пакета. Пример для линукс:

ping -s 999 -c1 mysrv.com

Где -s — размер отправляемого сообщения, -с количество. Если совпадает размер сообщения, то для IP-адреса отправителя открываются указанные порты на некоторое время и отравляется сообщение об открытие портов в Телеграмм. Так для реализации данной поделки понадобятся: ufw, curl, tcpdump:

apt install ufw curl tcpdump

и сам скрипт:

nano /opt/port-knocker.sh

#!/bin/bash PING_SIZE=999 PORTS='tcp/22 tcp/443' TIMEOUT=3600  TOKEN="121212XXXX:XXXXZZZZAAAAEEEERRRRQQQQGGGGTTTTHHHH" CHATID="55555XXXX"  PACKAGE_SIZE=$(( $PING_SIZE + 28 ))  function allow_access {     RESULT=`ufw allow proto $PROTO from $SRC to $DST port $PORT`     echo "`date` _ PORT-knocker _ $SRC -> $DST:$PORT :  $RESULT"     MESS="<b>`uname -n`</b> %0A`date` %0Aufw allow proto tcp from $SRC to $DST PORT $PORT %0A$RESULT"     curl -s "https://api.telegram.org/bot${TOKEN}/sendMessage?chat_id=${CHATID}&text=$MESS&parse_mode=HTML" >/dev/null & }  function deny_access {     sleep ${TIMEOUT} && RES=$(`ufw show added | grep "$DST" | grep "$SRC" | grep "port $PORT" | grep "proto $PROTO" | sed 's|ufw |ufw delete |g'`) && echo "`date` _ PORT-knocker _ $SRC -> $DST:$PORT : $RES" & }  while true do         LINE=`timeout 3600 tcpdump -n -c1 -i any icmp[icmptype] == icmp-echo and ip[2:2] == $PACKAGE_SIZE 2>/dev/null`          if [ -n "$LINE" ]         then             IP=`echo $LINE | sed 's|^.*IP ||' | tr ':' ' ' | awk '{print $1" "$3 }'`             SRC=`echo $IP | awk {'print $1'}`             DST=`echo $IP | awk {'print $2'}`             if [ -n "$SRC" ] && [ -n "$DST" ]             then                 for PPORT in ${PORTS}                 do                     PROTO=`echo $PPORT | sed 's|/| |g' | awk '{print $1}'`                     PORT=`echo $PPORT | sed 's|/| |g' | awk '{print $2}'`                     if ufw show added | grep "$DST" | grep "$SRC" | grep " $PORT"                     then                         deny_access                     else                         allow_access                         deny_access                     fi                 done             fi         else             echo "`date` - Timeout, reload sniffer"         fi  done

Где,

PING_SIZE — размер сообщения
PORTS=’tcp/22 tcp/443′ — протокол и порт
TIMEOUT=3600 — таймаут открытия порта в секундах

TOKEN — Телеграмме BotFather подскажет по запросу «/mybots» -> «API Token»
CHATID — Телеграмме IDBot подскажет по запросу «/getid»

Делаем скрипт исполняемым:

chmod +x /opt/port-knocker.sh

Чтобы скрипт работал как сервис:

nano /etc/systemd/system/pk.service

[Unit] Description=Start port-knocker  [Service] StandardOutput=syslog StandardError=syslog WorkingDirectory=/opt/ Type=simple ExecStart=/bin/bash /opt/port-knocker.sh KillMode=process Restart=on-failure RestartSec=5s  [Install] WantedBy=multi-user.target

Запускаем скрипт:

systemctl start pk

systemctl enable pk

Проверяем:

ping -s 999 -c1 mysrv.com

Должно пройти сообщение в телегу, о том порты открыты для такого-то IP

Если все ОК, то можно активировать UFW:

ufw enable

ufw show added

Повторить:

ping -s 999 -c1 mysrv.com

и глянуть опять:

ufw show added

ufw allow from XXX.XXX.XXX.XXX to YYY.YYY.YYY.YYY port 22 proto tcp  ufw allow from XXX.XXX.XXX.XXX to YYY.YYY.YYY.YYY port 443 proto tcp

Значит всё ОК, у меня всё!)))

P.S. Уже есть заготовка на Python3, если будет востребована, то перепишу)