これは私の設定です。
ラップトップ<-USBThetering->携帯電話<-4gインターネット->... homeADSLrouter <-LAN->サーバー
- ノートブックのIPは192.168.xxです。
- 携帯電話の内部IPは192.168.xyです。
- 携帯電話の外部ネットワークIPは....毎回変わります。
- homeADSLrouter外部IPも可変です(dyndnsはそのIPを指すように特定のホストを更新するために使用されますが)。
- homeADSLrouterにはSSHトラフィックを許可し、それをサーバーにリダイレクトする機能があります。
- サーバーには、通常のポートでリッスンしている sshd サーバーがあります。
電話の外部IPは毎回変更されるため、ホームADSLルータのSSHポートへのアクセスを制限するメカニズムはまだありますか?おそらく、IPベースではなく、世界中のSSHへの接続を許可するのではなく、他のメカニズムかもしれません。 sshサーバー(もちろん、ユーザー/パスワードはまだ制限されていますが、もう少し優先されます)
答え1
knockdポートバンピングをインストールして設定できます。 22が開く前に、ポートXYZに接続する必要があります。
答え2
Alex Pが述べたように、SSHを保護するには、SSHへのルートアクセスを無効にし、可能であればSSHキーを使用してログインするのが最善です。特定の回数のログインに失敗したすべてのIPをブロックするfall2banのインストールを検討することもできます。