我们已经向您展示了如何通过路由器上的“端口敲击”来远程触发WOL。在本文中，我们将介绍如何使用它来保护VPN服务。

图片由Aviad Raviv和Aviad Raviv&Abfick提供。

前言 / 开场白 / 序幕 / 引语

如果您使用过DD-WRT的VPN内置功能，或者在您的网络中安装了另一台VPN服务器，您可能会喜欢它通过将其隐藏在敲门序列后面来保护其免受暴力攻击的能力。通过这样做，您将过滤掉试图访问您的网络的脚本小子。话虽如此，正如前一篇文章中所述，端口敲门不能取代好的密码和/或安全策略。别忘了，只要有足够的耐心，攻击者就可以发现新的序列，并执行重播攻击。 还要记住，实施这种方式的不利之处是，当任何VPN客户端想要连接时，他们必须事先触发敲门序列，如果他们由于任何原因无法完成序列，他们将根本无法VPN。

为了保护*VPN服务，我们将首先通过阻塞1723的实例化端口来禁用与它的所有可能的通信。为了更好地实现这一目标，我们将使用iptables。这是因为，在大多数现代Linux/GNU发行版上，通常情况下，这就是如何过滤通信的，特别是在DD-WRT上。如果你想了解更多关于iptables的信息，请查看它的wiki条目，并看看我们之前关于这个主题的最新文章。一旦服务受到保护，我们将创建敲门攻击序列，该序列将暂时打开VPN实例化端口，并在配置的一段时间后自动关闭它，同时保持已建立的VPN会话连接。

注意：在本指南中，我们使用PPTP VPN服务作为示例。也就是说，同样的方法也可以用于其他VPN类型，您只需更改阻塞的端口和/或通信类型。

前提条件、假设和建议

假设/要求您具有启用了OPTG的DD-WRT路由器。 假设/要求您已经执行了“如何进入您的网络(DD-WRT)”指南中的步骤。 假设有一些网络和知识基础。

让我们开始行动吧。

DD-WRT上的默认“阻止新VPN”规则

虽然下面这段“代码”可能无法在每一个使用Linux/GNU发行版的自尊的iptables上工作，因为有这么多不同的版本，我们只会展示如何在DD-WRT上使用它。如果您愿意，没有什么可以阻止您直接在VPN盒上实施它。然而，如何做到这一点，显然超出了本指南的范围。

因为我们想要增强路由器的防火墙，所以添加到“防火墙”脚本是合乎逻辑的。这样做会导致每次刷新防火墙时都会执行iptables命令，从而保持我们的扩展功能不变。

从DD-WRT的Web-GUI：

进入“管理”->“命令”。 在文本框中输入以下“代码”： inline=“$(iptables-L input-n|grep-n”状态相关，已建立“|awk-F：{‘print$1’})”；inline=$(($inline-2+1))；iptables-i input“$inline”-p tcp--dport 1723-j drop。 单击“保存防火墙”。 好了。

谁打扰了我的睡意？