ssh порт вперед, щоб отримати доступ до моєї домашньої машини з будь-якого місця

Я виходжу з цього питання: /superuser/359799/how-to-make-freebsd-box-accessible-from-internet

Я хочу зрозуміти весь цей процес port forwarding.

Я читав так багато речей, але не розумію самого основного поняття переадресації портів.

Що я маю:

сервер freebsd, що сидить у мене вдома.
маршрутизатор netgear

Це я намагаюся досягти:

мати можливість отримати доступ до сервера freebsd через машину Windows через Інтернет, щоб мати можливість відкривати веб-браузер та доступ до Інтернету.

Я також хочу отримати доступ до цього вікна Freebsd з машини ubuntu, яка є у мене.

Буде чудово, якщо хтось зможе мені допомогти.

Ось настройка маршрутизатора netgear, яку я зробив для переадресації портів.

Почну з необґрунтованих фактів:

1. У вас є: A- вікно FreeBSD, B- ваш маршрутизатор і C- деяка машина з доступом до Інтернету. Ось як це виглядає:

   .-----.      .-----.                        .-----.
   |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
   '-----'      '-----'                        '-----'
   \_________ ________/
             v
              `- this is your LAN
   

   Зверніть увагу , як ваш маршрутизатор нормально працює: вона дозволяє встановлювати з'єднання з машин у вашій локальній мережі до Інтернету (простіше кажучи). Отже, якщо A(або будь-яка інша машина в локальній мережі) хоче отримати доступ до Інтернету, це буде дозволено (знову ж таки, лише про базове розуміння та конфігурацію):

   .-----.      .-----.                        .-----.
   |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
   '-----'      '-----'                        '-----'
         `-->----'  `--->--->---^  
   

   І наступне це НЕ дозволено за умовчанням:

   .-----.      .-----.                        .-----.
   |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
   '-----'      '-----'                        '-----'
         `--<----'  `---<--- - - - - --<---<-----'
   

   (Тобто, маршрутизатор захищає машини вашої локальної мережі від доступу до Інтернету.) Зауважте, що маршрутизатор - це єдина частина вашої локальної мережі, яка спостерігається з Інтернету ¹⁾ .

2. Переадресація портів - це те, що дозволяє здійснювати третю схему. Це полягає в тому, щоб сказати маршрутизатору, яке з'єднання з C²⁾ має перейти до якої машини в локальній мережі. Це робиться на основі номерів портів , тому його називають переадресацією портів . Ви налаштовуєте це, доручаючи маршрутизатору, що всі з'єднання, що надходять на даний порт з Інтернету, повинні перейти до певної машини в локальній мережі. Ось приклад для порту 22, пересланого на машину A:

   .------.     .-------.                        .-----.
   |  A   | ==  |   B   |  - - ( Internet ) - -  |  C  |
   |      |     |       |                        '-----'
   '-|22|-'     ',--|22|'                          |
       `--<-22---'    `---<---- - - - - - --<-22---'
   

3. Такі з'єднання через Інтернет відбуваються на основі IP-адрес. Отже, трохи більш точним представленням вищевказаного прикладу було б:

   .------.      .-------.                                .-----.
   |  A   |  ==  |   B   | - - - - - ( Internet ) - - - - |  C  |
   |      |      |       |                                '-----'
   '-|22|-'      ',--|22|'                                   |
       `--<-A:22--'    `--<-YourIP:22 - - - - --<-YourIP:22--'
   

   Якщо у вас немає з'єднання з Інтернетом зі статичним IP-адресою, вам доведеться якось дізнатися, який IP-адресу в даний час присвоюється вашому маршрутизатору провайдером. Інакше Cне знатиме, до якого IP-адреси він має підключитися, щоб потрапити на ваш маршрутизатор (і далі, до A). Щоб вирішити це простим способом, ви можете скористатися сервісом під назвою динамічний DNS . Це зробить ваш маршрутизатор періодично надсилати інформацію на спеціальний DNS-сервер, який буде відслідковувати ваш IP-адресу та надавати вам доменне ім’я . Існує досить багато безкоштовних динамічних постачальників DNS. Багато маршрутизаторів оснащені параметрами конфігурації, щоб легко зв’язатися з ними.

_{¹⁾ Це, знову ж таки, спрощення - фактичним пристроєм, який бачать в Інтернеті, є модем, який часто може бути інтегрований з маршрутизатором, але також може бути окремим вікном.
²⁾ або будь-який інший апарат з підключенням до Інтернету.}

Тепер для того, що ви хочете:

1. Просто дозволити ssh отримати доступ до своєї машини з Інтернету - це погана ідея. Є тисячі ботів, створених кракерами, які шукають в Інтернеті машини з відкритим SSH-портом. Вони , як правило , «стукати» на порт SSH за замовчуванням як можна більшого числа IP - адрес , як вони можуть і як тільки вони знаходять SSH - демон працює де - то, в спробі отримати брутфорс доступ до машини. Це не лише ризик можливого поломки, але й уповільнення роботи мережі під час роботи машини.

2. Якщо вам дійсно потрібен такий доступ, вам слід принаймні

   • переконайтеся, що у вас є надійні паролі для всіх облікових записів користувачів,

   • заборонити кореневий доступ через SSH (ви завжди можете увійти як звичайний користувач та suабо sudoпотім),

   • змінити порт за замовчуванням, на якому працюватиме ваш SSH-сервер,

   • введіть механізм заборони численних спроб входу в SSH (із скороченням часу на очікування подальших спроб - я не пам’ятаю, як саме це називається - я це ввімкнув деякий час тому на FreeBSD, і, нагадаю, це було досить просто - спробуйте пошук деяких форумів FreeBSD та ін. щодо забезпечення SSH, ви знайдете його.)

   • Якщо можливо, спробуйте запустити ssh daemon лише тоді, коли ви знаєте, що отримаєте доступ до машини в найближчому майбутньому, а потім вимкніть його.

3. Звикайте переглядати системні журнали. Якщо ви починаєте помічати щось підозріле, введіть додаткові механізми захисту, такі як таблиці IP або стукіт портів .

Є кілька способів цього досягти. Найпростіше, мабуть, налаштувати те, що відомо як DMZ. Однак, більш безпечним способом є на маршрутизаторі встановити статичний маршрут на порт 22 до IP вашого сервера.

Ресурси:

• Як налаштовано переадресацію портів? (заархівована копія сторінки NETGEAR)
• Як перенести вперед для швидшого Інтернету (поточна, але неповна копія вищезазначеного, на TechRadar)
• Поширені запитання щодо випадків VPN

Це може зробити ваш маршрутизатор. На деяких маршрутизаторах ця функція називаєтьсяVirtual Server

Дивіться внизу частини зображення два приклади переадресації портів. Один є Web, а інший - SSH. У першому випадку будь-який запит на ваш WAN IP, тобто IP вашого маршрутизатора з портом, 80буде перенаправлений до локальної IP ( 192.168.2.4у цьому випадку)
Завдяки цій функції ви можете отримати послуги, що працюють на вашому ПК / сервері, що працюють в локальній мережі з будь-якої точки світу. тобто ці послуги не обмежуються локальною мережею