私数字SSH経由でアクセスするサーバー(一部は他のNATの背後にある)にはSSHトンネルが必要な場合があります。現在、私はこの目的のために単一のVPSを使用しています。そんなとき数字達成する65535 - 1023 = 64512、VPSにトンネルを接続できるポートが不足しています。別のVPSを起動する必要がありますか、または既存のVPSに追加のIPアドレスを追加する必要がありますか?
つまり、Linuxシステムあたりまたはネットワークインタフェースあたり65535の制限が設定されていますか?この回答通常、すべてのIPアドレス、特にすべてのIPv4アドレスを意味するようです。一つも同じです。5タプル新しいIPアドレスを導入するには新しいタプルが必要なので、制限がリセットされることを意味しますか?これがIPv4に当てはまる場合、IPv6では異なりますか?
ベストアンサー1
受信ポートの制限は、IPv4 または IPv6 に関係なく、アドレス別に適用されます。制限は以下に由来します。伝送制御プロトコルそしてUDPプロトコルパケットヘッダーは2バイトなので、TCPとUDPのポート番号は0x0000(0)から0xFFFF(65535)の範囲にしかありません。
すべてのサービス(SSHサーバーを含む)が特定のポートをリッスンするときに、1つのIPアドレスまたはすべてのIPアドレスでリッスンすることを選択できます。したがって、各サービスが特定のIPアドレスを受信するように設定しない限り、新しいアドレスを追加することは必ずしも役に立ちません。
ただし、2つ以上のサービスできる異なるIPアドレスを受信する限り、同じポートを共有します。
正直言って、NATはいつもハッキングでした。 IPv6では、各システムには独自のパブリックIPv6アドレスがあり、着信接続を制限するファイアウォールがNATに代わるため、その必要性が減少しました。
この状況を解決する最も一般的な方法は、「bastion」マシンを使用することです。ユーザーはsshを介してbastionに接続し、そこから希望のボックスにsshを接続します。