Pochodzę z tego pytania: /superuser/359799/how-to-make-freebsd-box-accessible-from-internet
Chcę zrozumieć cały ten proces port forwarding
.
Czytam tak wiele rzeczy, ale nie rozumiem bardzo podstawowej koncepcji samego przekierowania portów.
Co ja mam:
serwer Freebsd siedzi w moim domu.
router sieciowy
Oto, co staram się osiągnąć:
aby mieć dostęp do serwera Freebsd z komputera z systemem Windows przez Internet, aby móc otworzyć przeglądarkę internetową i uzyskać dostęp do Internetu.
Chcę również uzyskać dostęp do tego pola Freebsd z komputera z Ubuntu, który mam.
Będzie wspaniale, jeśli ktoś może mi pomóc.
Oto konfiguracja routera netgear, którą zrobiłem dla przekierowania portów.
superuser
pytanie.Odpowiedzi:
Zacznę od surowych faktów:
Masz:
A
- swoją skrzynkę FreeBSD,B
- router iC
- jakąś maszynę z dostępem do Internetu. Tak to wygląda:Zwróć uwagę, jak zwykle działa router : umożliwia połączenia z maszyn w sieci LAN do Internetu (po prostu). Więc jeśli
A
(lub jakakolwiek inna maszyna w sieci LAN) chce uzyskać dostęp do Internetu, będzie to dozwolone (ponownie, po prostu mówiąc o podstawowym zrozumieniu i konfiguracji):Domyślnie następujące opcje nie są dozwolone:
(Oznacza to, że router chroni maszyny w Twojej sieci LAN przed dostępem z Internetu.) Zauważ, że router jest jedyną częścią twojej sieci LAN widzianą z Internetu 1) .
Przekierowanie portów jest tym, co pozwala na realizację trzeciego schematu. Polega to na poinformowaniu routera, które połączenie z
C
2) powinno przejść do której maszyny w sieci LAN. Odbywa się to na podstawie numerów portów - dlatego nazywa się to przekierowaniem portów . Skonfigurujesz to, instruując router, że wszystkie połączenia przychodzące na danym porcie z Internetu powinny być kierowane do określonego komputera w sieci LAN. Oto przykład portu 22 przekazanego do komputeraA
:Takie połączenia przez Internet odbywają się na podstawie adresów IP. Tak więc nieco bardziej precyzyjna reprezentacja powyższego przykładu byłaby następująca:
Jeśli nie masz połączenia internetowego ze statycznym adresem IP, musisz jakoś dowiedzieć się, jaki adres IP jest obecnie przypisany do twojego routera przez dostawcę usług internetowych. W przeciwnym razie
C
nie będzie wiedział, z jakim adresem IP musi się połączyć, aby uzyskać dostęp do routera (i dalejA
). Aby rozwiązać ten problem w prosty sposób, możesz skorzystać z usługi o nazwie dynamiczny DNS . Sprawi to, że router będzie okresowo wysyłać informacje do specjalnego serwera DNS, który będzie śledził twój adres IP i zapewnił Ci nazwę domeny . Istnieje całkiem sporo bezpłatnych dynamicznych dostawców DNS. Wiele routerów jest wyposażonych w opcje konfiguracji umożliwiające łatwy kontakt z nimi.1) To znowu jest uproszczenie - rzeczywiste urządzenie widoczne w Internecie to modem - które często można zintegrować z routerem, ale może to być również osobne urządzenie.
2) lub dowolne inne urządzenie z połączeniem internetowym.
Teraz, co chcesz:
Po prostu zezwolenie na dostęp ssh do komputera przez Internet to zły pomysł. Istnieją tysiące botów skonfigurowanych przez crackerów, którzy przeszukują Internet w poszukiwaniu maszyn z otwartym portem SSH. Zazwyczaj „pukają” do domyślnego portu SSH z jak największą liczbą adresów IP, a kiedy tylko znajdą gdzieś działającego demona SSH, próbują uzyskać brutalny dostęp do maszyny. Jest to nie tylko ryzyko potencjalnego włamania, ale także spowolnienia sieci podczas brutalnej siły komputera.
Jeśli naprawdę potrzebujesz takiego dostępu, powinieneś przynajmniej
upewnij się, że masz silne hasła do wszystkich kont użytkowników,
uniemożliwić dostęp korzeń przez SSH (zawsze można zalogować się jako zwykły użytkownik i
su
czysudo
wtedy),zmień domyślny port, na którym działałby twój serwer SSH,
wprowadzić mechanizm blokowania licznych prób logowania SSH (ze skróconym czasem oczekiwania na kolejne próby - nie pamiętam, jak to się dokładnie nazywa - włączyłem go jakiś czas temu we FreeBSD i pamiętam, że było to dość łatwe - spróbuj przeszukując niektóre fora FreeBSD itp. na temat zabezpieczenia SSH, a znajdziesz go.)
Jeśli to możliwe, spróbuj uruchomić demona ssh tylko wtedy, gdy będziesz wiedział, że będziesz uzyskiwać dostęp do maszyny w najbliższej przyszłości, a następnie wyłącz ją
Przyzwyczaj się do przeglądania dzienników systemu. Jeśli zaczniesz zauważać coś podejrzanego, wprowadź dodatkowe mechanizmy bezpieczeństwa, takie jak tabele IP lub pukanie portów .
źródło
Istnieje kilka sposobów na osiągnięcie tego. Najłatwiej jest prawdopodobnie skonfigurować tak zwaną strefę DMZ. Jednak bezpieczniejszym sposobem jest skonfigurowanie trasy routera na porcie 22 do adresu IP serwera na routerze.
Zasoby:
źródło
Można to zrobić za pomocą routera. Na niektórych routerach ta funkcja jest nazywana
Virtual Server
W poniższej części obrazu znajdują się dwa przykłady przekierowania portów. Jeden jest z sieci, a drugi z SSH. W pierwszym przypadku każde żądanie dotyczące adresu IP sieci WAN, tj. Adres IP routera z portem,
80
zostanie przesłane do adresu IP sieci LAN (192.168.2.4
w tym przypadku).Dzięki tej funkcji można uzyskać dostęp do usług działających na komputerze / serwerze w sieci LAN z dowolnego miejsca na świecie tzn. usługi te nie są ograniczone do sieci LAN
źródło