どこでも自宅のコンピュータにアクセスできるSSHポート転送

tag-icon tag-icon ssh freebsd ssh-tunneling port-forwarding
どこでも自宅のコンピュータにアクセスできるSSHポート転送

私はこの質問から来ました:https://superuser.com/questions/359799/how-to-make-freebsd-box-accessible-from-internet

私はこのすべてのプロセスを理解したいと思いますport forwarding

たくさん読んでいますが、ポート転送自体の基本概念を理解できません。

私が持っているもの:

家にfreebsdサーバーがあります。
ネットギアルーター

これが私が達成したいものです:

Webブラウザを開いてインターネットにアクセスできるように、インターネットを介してWindowsシステムからfreebsdサーバーにアクセスできます。

私も私が持っているUbuntuマシンからこのfreebsdボックスにアクセスしたいと思います。

誰でも私を助けることができればいいでしょう。

ポート転送用のネットギアルーターの設定は次のとおりです。

ネットギアポート転送

ベストアンサー1

私は生の事実から始めます。

  1. あなたは以下を持っています:A- FreeBSDボックス、B- ルーター、C- インターネット接続可能なマシン。次のように進みます。

    .-----.      .-----.                        .-----.
|  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
'-----'      '-----'                        '-----'
\_________ ________/
          v
           `- this is your LAN

    ルーターの動作方法に注意してください。通常有効:接続を許可します。~からLAN上のマシン到着インターネット(簡単に言えば)。したがって、A(またはLAN上の他のシステム)インターネットにアクセスしたい場合は許可されます(基本的な理解と設定についてもう一度話します)。

    .-----.      .-----.                        .-----.
|  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
'-----'      '-----'                        '-----'
      `-->----'  `--->--->---^

    次はいいえデフォルトで許可:

    .-----.      .-----.                        .-----.
|  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
'-----'      '-----'                        '-----'
      `--<----'  `---<--- - - - - --<---<-----'

    (つまり、ルータ保護するLAN上のコンピュータはインターネットからアクセスできません。 ) ルータはLANで唯一見える部分です。~からインターネット1

  2. ポート転送により、3 番目のモードが発生する可能性があります。これにはルータに通知することが含まれます。C2)接続は次に移動する必要があります。どのLANのマシン。これは以下に基づいています。ポート番号- だからそう呼ばれる。フォワードポート。特定のポートからのすべての接続をインターネットからLAN上の特定のコンピュータに送信するように指示することで、ルータを設定できます。以下は、ポート22をマシンに転送する例ですA

    .------.     .-------.                        .-----.
|  A   | ==  |   B   |  - - ( Internet ) - -  |  C  |
|      |     |       |                        '-----'
'-|22|-'     ',--|22|'                          |
    `--<-22---'    `---<---- - - - - - --<-22---'

  3. インターネットを介したこの接続はIPアドレスに基づいています。したがって、上記の例をより正確に表現すると、次のようになります。

    .------.      .-------.                                .-----.
|  A   |  ==  |   B   | - - - - - ( Internet ) - - - - |  C  |
|      |      |       |                                '-----'
'-|22|-'      ',--|22|'                                   |
    `--<-A:22--'    `--<-YourIP:22 - - - - --<-YourIP:22--'

    インターネットに接続していない場合変化のないIPを使用するには、現在ISPがルーターに割り当てているIPを知っている必要があります。それ以外の場合は、Cルーター(およびそれ以上)に到達するためにどのIPに接続する必要があるのか​​わかりませんA。この問題を簡単な方法で解決するには、次のサービスを使用できます。動的ドメイン名の解決。これにより、ルーターは定期的に特別なサービスに情報を送信します。DNSサーバーあなたのIPを追跡してあなたに情報を提供します。ドメイン名。無料の動的DNSプロバイダがたくさんあります。多くのルーターには、これらのルーターに簡単に接続できる構成オプションがあります。

1)これは再び単純化されたものです。インターネットに表示される実際のデバイスはモデムです。モデムは通常ルーターと統合できますが、別のボックスにすることもできます。
2)またはインターネットに接続されている他のコンピュータ。

今何が欲しいですか:

  1. 単にインターネットからコンピュータへのSSHアクセスを許可するのは悪い考えです。何千ものボットが作られました。ビスケットSSHポートが開いているコンピュータをインターネットで検索します。彼らは通常、できるだけ多くのIPのデフォルトSSHポートに「接続」し、どこかで実行されているSSHデーモンを見つけたら無差別代入クラッキングマシンにアクセスしてください。これは潜在的な侵入リスクを示すだけでなく、システムが無差別攻撃を受けるとネットワーク速度が低下する危険性もあります。

  2. 本当にそのようなアクセスが必要な場合は、少なくとも

    • あなたが持っていることを確認してください強いすべてのユーザーアカウントのパスワード、

    • SSHを介したルートアクセスを無効にします(常に一般ユーザーとしてログインまたはログインできますsusudo

    • SSHサーバーが稼働するデフォルトポートを変更します。

    • 複数のSSHログイン試行を無効にするメカニズムを導入します。 (次の試みの待ち時間を増やします。これが正確に何であるかを覚えていません。しばらく前にFreeBSDで有効にしたのは簡単です。覚えておいてください。FreeBSDフォーラムを検索してみてください。SSHセキュリティについて読むときに見つけることができます)。

    • 可能であれば、近いうちにマシンにアクセスする予定の場合にのみsshデーモンを実行してから終了してください。

  3. システムログの検索に慣れてください。疑わしい点が見つかり始めたら、次のような追加のセキュリティメカニズムを導入してください。IPテーブルまたはポートノック

おすすめ記事