GNU/Linux >> Tutoriels Linux >  >> Linux

Transfert de port Ssh pour accéder à la machine domestique depuis n'importe où ?

Je viens de cette question :https://superuser.com/questions/359799/how-to-make-freebsd-box-accessible-from-internet

Je veux comprendre tout ce processus de port forwarding .

J'ai lu tellement de choses, mais je ne comprends pas le concept de base de la redirection de port en soi.

Ce que j'ai :

un serveur freebsd assis chez moi.
routeur netgear

Voici ce que j'essaie de réaliser :

pour pouvoir accéder au serveur freebsd à partir d'une machine Windows via Internet pour pouvoir ouvrir un navigateur Web et accéder à Internet.

Je souhaite également accéder à cette boîte freebsd à partir d'une machine ubuntu que j'ai.

Ce serait formidable si quelqu'un pouvait m'aider s'il vous plaît.

Voici la configuration du routeur netgear que j'ai faite pour la redirection de port.

Réponse acceptée :

Je vais commencer par les faits bruts :

  1. Vous avez :A – votre boitier FreeBSD, B – votre routeur et C – une machine avec accès Internet. Voici à quoi cela ressemble :

    .-----.      .-----.                        .-----.
|  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
'-----'      '-----'                        '-----'
_________ ________/
          v
           `- this is your LAN

    Remarquez comment votre routeur normalement fonctionne :il autorise les connexions depuis machines sur votre LAN vers l'Internet (simplement parlant). Donc, si le A (ou toute autre machine sur LAN) veut accéder à Internet, il sera autorisé (encore une fois, juste en parlant de compréhension et de configuration de base) :

    .-----.      .-----.                        .-----.
|  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
'-----'      '-----'                        '-----'
      `-->----'  `--->--->---^

    Et ce qui suit n'est pas autorisé par défaut :

    .-----.      .-----.                        .-----.
|  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
'-----'      '-----'                        '-----'
      `--<----'  `---<--- - - - - --<---<-----'

    (Autrement dit, le routeur protège empêcher l'accès des machines de votre réseau local à partir d'Internet.) Notez que le routeur est la seule partie de votre réseau local visible depuis Internet.

  2. La redirection de port est ce qui permet au troisième schéma d'avoir lieu. Cela consiste à dire au routeur quoi connexion depuis C devrait aller à qui ordinateur sur le réseau local. Ceci est fait sur la base des numéros de port - c'est pourquoi on l'appelle transfert de port . Vous configurez cela en indiquant au routeur que toutes les connexions provenant d'Internet sur un port donné doivent aller à une certaine machine sur le réseau local. Voici un exemple pour le port 22 transmis à la machine A :

    .------.     .-------.                        .-----.
|  A   | ==  |   B   |  - - ( Internet ) - -  |  C  |
|      |     |       |                        '-----'
'-|22|-'     ',--|22|'                          |
    `--<-22---'    `---<---- - - - - - --<-22---'

  3. De telles connexions via Internet se produisent sur la base d'adresses IP. Donc, une représentation un peu plus précise de l'exemple ci-dessus serait :

    .------.      .-------.                                .-----.
|  A   |  ==  |   B   | - - - - - ( Internet ) - - - - |  C  |
|      |      |       |                                '-----'
'-|22|-'      ',--|22|'                                   |
    `--<-A:22--'    `--<-YourIP:22 - - - - --<-YourIP:22--'

    Si vous n'avez pas de connexion Internet avec un statique IP, vous devrez alors savoir d'une manière ou d'une autre quelle adresse IP est actuellement attribuée à votre routeur par le FAI. Sinon, C ne saura pas à quelle adresse IP il doit se connecter pour accéder à votre routeur (et plus loin, à A ). Pour résoudre ce problème de manière simple, vous pouvez utiliser un service appelé DNS dynamique . Cela obligerait votre routeur à envoyer périodiquement des informations à un serveur DNS spécial qui gardera une trace de votre IP et vous fournira un nom de domaine . Il existe de nombreux fournisseurs de DNS dynamiques gratuits. De nombreux routeurs sont livrés avec des options de configuration pour les contacter facilement.

Connexe :L'arrêt d'une machine Windows 7 la redémarre parfois à la place ?

Il s'agit, encore une fois, d'une simplification :le véritable périphérique visible sur Internet est le modem, qui peut souvent être intégré au routeur, mais peut également être un boîtier séparé.
ou toute autre machine avec Connexion Internet.

Maintenant, pour ce que vous voulez :

  1. Autoriser simplement l'accès ssh à votre machine depuis Internet est une mauvaise idée. Il existe des milliers de bots mis en place par des crackers qui recherchent sur Internet des machines avec un port SSH ouvert. Ils "frappent" généralement sur le port SSH par défaut d'autant d'adresses IP qu'ils le peuvent et une fois qu'ils trouvent un démon SSH en cours d'exécution quelque part, ils essaient de gagner bruteforce l'accès à la machine. Il s'agit non seulement d'un risque d'effraction potentielle, mais également de ralentissements du réseau pendant que la machine est brutalisée.

  2. Si vous avez vraiment besoin d'un tel accès, vous devriez au moins

    • assurez-vous que vous avez fort les mots de passe de tous les comptes utilisateurs,

    • interdire l'accès root via SSH (vous pouvez toujours vous connecter en tant qu'utilisateur normal et su ou sudo alors),

    • changer le port par défaut sur lequel votre serveur SSH s'exécuterait,

    • introduire un mécanisme d'interdiction de nombreuses tentatives de connexion SSH (avec un temps d'attente croissant pour les tentatives suivantes - je ne me souviens pas exactement comment cela s'appelle - je l'avais activé il y a quelque temps sur FreeBSD et je me souviens que c'était assez facile - essayez en cherchant sur certains forums FreeBSD, etc. sur la sécurisation de SSH, vous le trouverez.)

    • Si possible, essayez d'exécuter le démon ssh uniquement lorsque vous savez que vous accéderez à la machine dans un avenir proche et désactivez-le ensuite

  3. Habituez-vous à parcourir vos journaux système. Si vous commencez à remarquer quelque chose de suspect, introduisez des mécanismes de sécurité supplémentaires comme les tables IP ou frapper au port .


Linux

  1. Dois-je changer le port SSH par défaut sur les serveurs Linux ?

  2. Comment rediriger un port d'une machine à une autre ?

  3. IPTables - Port vers une autre adresse IP et port (de l'intérieur)

  4. Empêcher la connexion ssh d'imprimer motd depuis le client ?

  5. Comment configurer le tunnel ssh pour transférer ssh?

Bashhub - Accédez à l'historique de votre terminal depuis n'importe où

Comment changer le port SSH dans CentOS

LA FAÇON FACILE comment SSH dans Bash et WSL2 sur Windows 10 à partir d'une machine externe

Comment se connecter en SSH à WSL2 sur Windows 10 à partir d'une machine externe

Comment se connecter en SSH à une machine Windows 10 depuis Linux OU Windows OU n'importe où

Redémarrez SSH sur une machine où SSH est le seul mode d'accès