どこでも自宅のコンピュータにアクセスできるSSHポート転送

どこでも自宅のコンピュータにアクセスできるSSHポート転送

私はこの質問から来ました:https://superuser.com/questions/359799/how-to-make-freebsd-box-accessible-from-internet

私はこのすべてのプロセスを理解したいと思いますport forwarding

たくさん読んでいますが、ポート転送自体の基本概念を理解できません。

私が持っているもの:

家にfreebsdサーバーがあります。
ネットギアルーター

これが私が達成したいものです:

Webブラウザを開いてインターネットにアクセスできるように、インターネットを介してWindowsシステムからfreebsdサーバーにアクセスできます。

私も私が持っているUbuntuマシンからこのfreebsdボックスにアクセスしたいと思います。

誰でも私を助けることができればいいでしょう。

ポート転送用のネットギアルーターの設定は次のとおりです。

ネットギアポート転送

答え1

私は生の事実から始めます。

  1. あなたは以下を持っています:A- FreeBSDボックス、B- ルーター、C- インターネット接続可能なマシン。次のように進みます。

    .-----.      .-----.                        .-----.
    |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
    '-----'      '-----'                        '-----'
    \_________ ________/
              v
               `- this is your LAN
    

    ルーターの動作方法に注意してください。通常有効:接続を許可します。~からLAN上のマシン到着インターネット(簡単に言えば)。したがって、A(またはLAN上の他のシステム)インターネットにアクセスしたい場合は許可されます(基本的な理解と設定についてもう一度話します)。

    .-----.      .-----.                        .-----.
    |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
    '-----'      '-----'                        '-----'
          `-->----'  `--->--->---^  
    

    次はいいえデフォルトで許可:

    .-----.      .-----.                        .-----.
    |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
    '-----'      '-----'                        '-----'
          `--<----'  `---<--- - - - - --<---<-----'
    

    (つまり、ルータ保護するLAN上のコンピュータはインターネットからアクセスできません。 ) ルータはLANで唯一見える部分です。~からインターネット1

  2. ポート転送により、3 番目のモードが発生する可能性があります。これにはルータに通知することが含まれます。C2)接続は次に移動する必要があります。どのLANのマシン。これは以下に基づいています。ポート番号- だからそう呼ばれる。フォワードポート。特定のポートからのすべての接続をインターネットからLAN上の特定のコンピュータに送信するように指示することで、ルータを設定できます。以下は、ポート22をマシンに転送する例ですA

    .------.     .-------.                        .-----.
    |  A   | ==  |   B   |  - - ( Internet ) - -  |  C  |
    |      |     |       |                        '-----'
    '-|22|-'     ',--|22|'                          |
        `--<-22---'    `---<---- - - - - - --<-22---'
    
  3. インターネットを介したこの接続はIPアドレスに基づいています。したがって、上記の例をより正確に表現すると、次のようになります。

    .------.      .-------.                                .-----.
    |  A   |  ==  |   B   | - - - - - ( Internet ) - - - - |  C  |
    |      |      |       |                                '-----'
    '-|22|-'      ',--|22|'                                   |
        `--<-A:22--'    `--<-YourIP:22 - - - - --<-YourIP:22--'
    

    インターネットに接続していない場合変化のないIPを使用するには、現在ISPがルーターに割り当てているIPを知っている必要があります。それ以外の場合は、Cルーター(およびそれ以上)に到達するためにどのIPに接続する必要があるのか​​わかりませんA。この問題を簡単な方法で解決するには、次のサービスを使用できます。動的ドメイン名の解決。これにより、ルーターは定期的に特別なサービスに情報を送信します。DNSサーバーあなたのIPを追跡してあなたに情報を提供します。ドメイン名。無料の動的DNSプロバイダがたくさんあります。多くのルーターには、これらのルーターに簡単に接続できる構成オプションがあります。

1)これは再び単純化されたものです。インターネットに表示される実際のデバイスはモデムです。モデムは通常ルーターと統合できますが、別のボックスにすることもできます。
2)またはインターネットに接続されている他のコンピュータ。


今何が欲しいですか:

  1. 単にインターネットからコンピュータへのSSHアクセスを許可するのは悪い考えです。何千ものボットが作られました。ビスケットSSHポートが開いているコンピュータをインターネットで検索します。彼らは通常、できるだけ多くのIPのデフォルトSSHポートに「接続」し、どこかで実行されているSSHデーモンを見つけたら無差別代入クラッキングマシンにアクセスしてください。これは潜在的な侵入リスクを示すだけでなく、システムが無差別攻撃を受けるとネットワーク速度が低下する危険性もあります。

  2. 本当にそのようなアクセスが必要な場合は、少なくとも

    • あなたが持っていることを確認してください強いすべてのユーザーアカウントのパスワード、

    • SSHを介したルートアクセスを無効にします(常に一般ユーザーとしてログインまたはログインできますsusudo

    • SSHサーバーが稼働するデフォルトポートを変更します。

    • 複数のSSHログイン試行を無効にするメカニズムを導入します。 (次の試みの待ち時間を増やします。これが正確に何であるかを覚えていません。しばらく前にFreeBSDで有効にしたのは簡単です。覚えておいてください。FreeBSDフォーラムを検索してみてください。SSHセキュリティについて読むときに見つけることができます)。

    • 可能であれば、近いうちにマシンにアクセスする予定の場合にのみsshデーモンを実行してから終了してください。

  3. システムログの検索に慣れてください。疑わしい点が見つかり始めたら、次のような追加のセキュリティメカニズムを導入してください。IPテーブルまたはポートノック

答え2

これを達成する方法はいくつかあります。最も簡単な方法はDMZを設定することです。ただし、より安全なアプローチは、ルーターのポート22でサーバーIPへの静的ルートを確立することです。

リソース:

答え3

これはルーターを介して行うことができます。一部のルーターでは、Virtual Server

ポート転送の2つの例を含む以下の画像を参照してください。 1つはWeb方式で、もう1つはSSH方式です。最初の場合、WAN IP(ポートがあるルーターのIPなど)に対するすべての要求は、LAN IP(この場合)に転送され80ます。この機能により、世界中のどこからでも着信を受け取ることができます。 PC上で実行されるサービス/ LAN上で実行されるサーバー。つまり、これらのサービスはLANに限定されません。192.168.2.4

ルーターのポート転送または仮想サーバー

関連情報