私はこの質問から来ました:https://superuser.com/questions/359799/how-to-make-freebsd-box-accessible-from-internet
私はこのすべてのプロセスを理解したいと思いますport forwarding
。
たくさん読んでいますが、ポート転送自体の基本概念を理解できません。
私が持っているもの:
家にfreebsdサーバーがあります。
ネットギアルーター
これが私が達成したいものです:
Webブラウザを開いてインターネットにアクセスできるように、インターネットを介してWindowsシステムからfreebsdサーバーにアクセスできます。
私も私が持っているUbuntuマシンからこのfreebsdボックスにアクセスしたいと思います。
誰でも私を助けることができればいいでしょう。
ポート転送用のネットギアルーターの設定は次のとおりです。
答え1
私は生の事実から始めます。
あなたは以下を持っています:
A
- FreeBSDボックス、B
- ルーター、C
- インターネット接続可能なマシン。次のように進みます。.-----. .-----. .-----. | A | == | B | - - ( Internet ) - - | C | '-----' '-----' '-----' \_________ ________/ v `- this is your LAN
ルーターの動作方法に注意してください。通常有効:接続を許可します。~からLAN上のマシン到着インターネット(簡単に言えば)。したがって、
A
(またはLAN上の他のシステム)インターネットにアクセスしたい場合は許可されます(基本的な理解と設定についてもう一度話します)。.-----. .-----. .-----. | A | == | B | - - ( Internet ) - - | C | '-----' '-----' '-----' `-->----' `--->--->---^
次はいいえデフォルトで許可:
.-----. .-----. .-----. | A | == | B | - - ( Internet ) - - | C | '-----' '-----' '-----' `--<----' `---<--- - - - - --<---<-----'
(つまり、ルータ保護するLAN上のコンピュータはインターネットからアクセスできません。 ) ルータはLANで唯一見える部分です。~からインターネット1 )。
ポート転送により、3 番目のモードが発生する可能性があります。これにはルータに通知することが含まれます。何
C
2)接続は次に移動する必要があります。どのLANのマシン。これは以下に基づいています。ポート番号- だからそう呼ばれる。フォワードポート。特定のポートからのすべての接続をインターネットからLAN上の特定のコンピュータに送信するように指示することで、ルータを設定できます。以下は、ポート22をマシンに転送する例ですA
。.------. .-------. .-----. | A | == | B | - - ( Internet ) - - | C | | | | | '-----' '-|22|-' ',--|22|' | `--<-22---' `---<---- - - - - - --<-22---'
インターネットを介したこの接続はIPアドレスに基づいています。したがって、上記の例をより正確に表現すると、次のようになります。
.------. .-------. .-----. | A | == | B | - - - - - ( Internet ) - - - - | C | | | | | '-----' '-|22|-' ',--|22|' | `--<-A:22--' `--<-YourIP:22 - - - - --<-YourIP:22--'
インターネットに接続していない場合変化のないIPを使用するには、現在ISPがルーターに割り当てているIPを知っている必要があります。それ以外の場合は、
C
ルーター(およびそれ以上)に到達するためにどのIPに接続する必要があるのかわかりませんA
。この問題を簡単な方法で解決するには、次のサービスを使用できます。動的ドメイン名の解決。これにより、ルーターは定期的に特別なサービスに情報を送信します。DNSサーバーあなたのIPを追跡してあなたに情報を提供します。ドメイン名。無料の動的DNSプロバイダがたくさんあります。多くのルーターには、これらのルーターに簡単に接続できる構成オプションがあります。
1)これは再び単純化されたものです。インターネットに表示される実際のデバイスはモデムです。モデムは通常ルーターと統合できますが、別のボックスにすることもできます。
2)またはインターネットに接続されている他のコンピュータ。
今何が欲しいですか:
単にインターネットからコンピュータへのSSHアクセスを許可するのは悪い考えです。何千ものボットが作られました。ビスケットSSHポートが開いているコンピュータをインターネットで検索します。彼らは通常、できるだけ多くのIPのデフォルトSSHポートに「接続」し、どこかで実行されているSSHデーモンを見つけたら無差別代入クラッキングマシンにアクセスしてください。これは潜在的な侵入リスクを示すだけでなく、システムが無差別攻撃を受けるとネットワーク速度が低下する危険性もあります。
本当にそのようなアクセスが必要な場合は、少なくとも
あなたが持っていることを確認してください強いすべてのユーザーアカウントのパスワード、
SSHを介したルートアクセスを無効にします(常に一般ユーザーとしてログインまたはログインできます
su
)sudo
。SSHサーバーが稼働するデフォルトポートを変更します。
複数のSSHログイン試行を無効にするメカニズムを導入します。 (次の試みの待ち時間を増やします。これが正確に何であるかを覚えていません。しばらく前にFreeBSDで有効にしたのは簡単です。覚えておいてください。FreeBSDフォーラムを検索してみてください。SSHセキュリティについて読むときに見つけることができます)。
可能であれば、近いうちにマシンにアクセスする予定の場合にのみsshデーモンを実行してから終了してください。
システムログの検索に慣れてください。疑わしい点が見つかり始めたら、次のような追加のセキュリティメカニズムを導入してください。IPテーブルまたはポートノック。
答え2
これを達成する方法はいくつかあります。最も簡単な方法はDMZを設定することです。ただし、より安全なアプローチは、ルーターのポート22でサーバーIPへの静的ルートを確立することです。
リソース:
- ポート転送はどのように設定されますか?(NETGEARページのアーカイブコピー)
- より速いインターネットのために転送する方法 (現在ですが、上記の不完全なコピーはTechRadarにあります)
- VPN ケーススタディ FAQ