porta ssh in avanti per accedere al mio computer di casa da qualsiasi luogo

Vengo da questa domanda: /superuser/359799/how-to-make-freebsd-box-accessible-from-internet

Voglio capire l'intero processo di port forwarding.

Ho letto tante cose, ma non riesco a capire il concetto basilare di port forwarding stesso.

Quello che ho:

un server freebsd seduto a casa mia.
router netgear

Questo è ciò che sto cercando di ottenere:

per poter accedere al server freebsd da un computer Windows su Internet per poter aprire un browser Web e accedere a Internet.

Voglio anche accedere a questo box freebsd da una macchina Ubuntu che ho.

Sarebbe bello se qualcuno potesse aiutarmi, per favore.

Ecco la configurazione del router netgear che ho fatto per il port forwarding.

Inizierò con i fatti grezzi:

1. Hai: A- la tua scatola di FreeBSD, B- il tuo router e C- qualche macchina con accesso a Internet. Ecco come appare:

   .-----.      .-----.                        .-----.
   |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
   '-----'      '-----'                        '-----'
   \_________ ________/
             v
              `- this is your LAN
   

   Nota come funziona normalmente il tuo router : consente le connessioni dalle macchine della tua LAN a Internet (semplicemente parlando). Quindi, se A(o qualsiasi altra macchina su LAN) vuole accedere a Internet, sarà permesso (di nuovo, solo parlando di comprensione e configurazione di base):

   .-----.      .-----.                        .-----.
   |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
   '-----'      '-----'                        '-----'
         `-->----'  `--->--->---^  
   

   E per impostazione predefinita non è consentito:

   .-----.      .-----.                        .-----.
   |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
   '-----'      '-----'                        '-----'
         `--<----'  `---<--- - - - - --<---<-----'
   

   (Cioè, il router protegge le macchine della tua LAN dall'accesso da Internet.) Nota che il router è l'unica parte della tua LAN vista da Internet ¹⁾ .

2. Il port forwarding è ciò che consente il terzo schema. Ciò consiste nel dire al router quale connessione da C²⁾ dovrebbe andare a quale macchina sulla LAN. Questo viene fatto in base ai numeri di porta - ecco perché si chiama port forwarding . Si configura ciò indicando al router che tutte le connessioni provenienti da una determinata porta da Internet dovrebbero passare a un determinato computer sulla LAN. Ecco un esempio per la porta 22 inoltrata alla macchina A:

   .------.     .-------.                        .-----.
   |  A   | ==  |   B   |  - - ( Internet ) - -  |  C  |
   |      |     |       |                        '-----'
   '-|22|-'     ',--|22|'                          |
       `--<-22---'    `---<---- - - - - - --<-22---'
   

3. Tali connessioni tramite Internet avvengono in base a indirizzi IP. Quindi una rappresentazione un po 'più precisa dell'esempio sopra sarebbe:

   .------.      .-------.                                .-----.
   |  A   |  ==  |   B   | - - - - - ( Internet ) - - - - |  C  |
   |      |      |       |                                '-----'
   '-|22|-'      ',--|22|'                                   |
       `--<-A:22--'    `--<-YourIP:22 - - - - --<-YourIP:22--'
   

   Se non si dispone di una connessione Internet con un IP statico , è necessario conoscere in qualche modo quale IP è attualmente assegnato al router dall'ISP. Altrimenti, Cnon saprà a quale IP deve connettersi per accedere al router (e, inoltre, a A). Per risolvere questo in modo semplice, è possibile utilizzare un servizio chiamato DNS dinamico . Ciò indurrebbe il tuo router a inviare periodicamente informazioni a un server DNS speciale che terrà traccia del tuo IP e ti fornirà un nome di dominio . Esistono alcuni provider DNS dinamici gratuiti. Molti router sono dotati di opzioni di configurazione per contattarli facilmente.

_{¹⁾ Questa è, ancora una volta, una semplificazione - il dispositivo reale che viene visto su Internet è il modem - che spesso può essere integrato con il router, ma potrebbe anche essere una scatola separata.
²⁾ o qualsiasi altra macchina con connessione a Internet.}

Ora per quello che vuoi:

1. Consentire semplicemente l'accesso ssh al proprio computer da Internet è una cattiva idea. Ci sono migliaia di bot installati dai cracker che cercano su Internet macchine con porta SSH aperta. In genere "bussano" alla porta SSH predefinita di quanti più IP possono e una volta trovato un demone SSH in esecuzione da qualche parte, cercano di ottenere l' accesso bruteforce alla macchina. Questo non è solo un rischio di potenziale irruzione, ma anche di rallentamenti della rete mentre la macchina viene rinforzata.

2. Se hai davvero bisogno di tale accesso, dovresti almeno

   • assicurare che si dispone di forti password per tutti gli account utente,

   • non consentire l'accesso root su SSH (puoi sempre accedere come utente normale e / suo sudopoi),

   • cambiare la porta predefinita su cui verrebbe eseguito il server SSH,

   • introdurre un meccanismo per impedire numerosi tentativi di accesso a SSH (con tempi di attesa eccessivi per i tentativi successivi - non ricordo come si chiama esattamente - l'ho abilitato qualche tempo fa su FreeBSD e ricordo che era abbastanza facile - prova cercando in alcuni forum di FreeBSD ecc. su come proteggere SSH e lo troverai.)

   • Se possibile, prova a eseguire il demone ssh solo quando sai che accederai alla macchina in un prossimo futuro e poi spegnilo

3. Abituati a consultare i log di sistema. Se si inizia a notare qualcosa di sospetto, introdurre meccanismi di sicurezza aggiuntivi come tabelle IP o bussare alle porte .

Ci sono un paio di modi per farlo. Il più semplice è probabilmente quello di impostare ciò che è noto come DMZ. Il modo più sicuro, tuttavia, è sul router per impostare un percorso statico sulla porta 22 verso l'IP del server.

risorse:

• Come viene configurato il port forwarding? (copia archiviata della pagina NETGEAR)
• Come eseguire il port forwarding per una connessione Internet più veloce (attuale, ma incompleta, copia di quanto sopra, su TechRadar)
• Domande frequenti sul caso di studio VPN

Questo può essere fatto dal tuo router. Su alcuni router questa funzione è chiamataVirtual Server

Vedi nella parte inferiore dell'immagine ci sono due esempi di port forwarding. Uno è di Web e un altro è di SSH. Nel primo caso qualsiasi richiesta sull'IP WAN, ad esempio l'IP del router con porta, 80verrà inoltrata a un IP LAN ( 192.168.2.4in questo caso)
Con questa funzione è possibile ottenere servizi in esecuzione sul PC / server in esecuzione in LAN da qualsiasi parte del mondo cioè quei servizi non sono limitati alla LAN