“寻龙分金看缠山，一重缠是一重关，关门如有八重险，不出阴阳八卦形”
看盗墓剧的时候，男主角总会在解开一重以一重的机关，才能找到正确的路，那么Linux下我们能否设置一些机关，只有在一些特定的访问顺序后才能启动对应的服务或任务？否则执行任务关闭。
答案当然有！此种方法可有效拦截黑客或做加密使用。
1.介绍

knock是一个用于端口敲门的工具，通过发送特定的数据包序列来触发服务器上的操作，例如打开或关闭防火墙端口，开启服务或关闭服务等。
首先安装knock工具，我以CentOS操作系统为例：

安装

yum -y install knock-server.x86_64

查看man帮助：
man knockd

2.服务端安装

假如我想在客户端顺序访问7777、8888、9999端口后自动开放防火墙的8080端口，在客户端顺序访问9999、8888、7777端口后，自动关闭防火墙8080端口，以达到安全访问的目的。设置如下：

修改knocked.conf配置文件

vim /etc/knockd.conf
修改配置文件如下，Interface定义当前操作系统网卡的名字，比如我的网卡是eth0；openWeb和closeWeb分别定义顺序执行特定端口敲门时执行的命令，如执行7777,8888,9999端口顺序时，执行firewall-cmd –add-port=8080/tcp命令，若执行9999,8888,7777顺序时，执行firewall-cmd –remove-port=8080/tcp命令。
将配置保存退出。
[options]
UseSyslog
Interface = eth0
[openWeb]
sequence = 7777,8888,9999
seq_timeout = 30
command = /usr/bin/firewall-cmd –add-port=8080/tcp
tcpflags = syn

[closeWeb]
sequence = 9999,8888,7777
seq_timeout = 30
command = /usr/bin/firewall-cmd –remove-port=8080/tcp
tcpflags = syn
启动服务：

启动并查看knockd的运行状态

systemctl start knockd.service
systemctl status knockd.service

3.应用展示

首先查看8080端口开放情况：
firewall-cmd –query-port=8080/tcp

客户端执行顺序敲门，我这里采用telnet工具模拟：

xxx_ip为你的服务器ip地址

telnet xxx_ip 7777
telnet xxx_ip 8888
telnet xxx_ip 9999

查看服务器端口发现8080已经正常开放。

反向执行9999、8888、7777敲门，则真实的8080自动关闭成功。达到测试实验目的。

4.客户端安装

也可以使用客户端顺序敲门，执行效率更高，使用yum安装。
yum -y install knock.x86_64

执行顺序敲门：
knock xxx_ip 7777 8888 9999
可以看到目标端口已经开放。

5.总结

knock为隐藏加密端口、服务提供了一种新思路，大家可以结合各类业务及tcp/udp扩展想法实现好玩的功能！