您的内部网络上是否有需要从外部世界访问的机器?使用堡垒主机作为您网络的网关守护者可能是解决方案。
堡垒的字面意思是一个设防的地方。在计算机术语中,它是网络上的一台机器,可以作为传入和传出连接的网关守护者。
您可以将您的堡垒主机设置为唯一接受来自internet的传入连接的计算机。然后,依次设置网络上的所有其他机器,只接收来自堡垒主机的传入连接。这有什么好处?
最重要的是安全。堡垒主机,顾名思义,可以有非常严密的安全性。它将是抵御任何入侵者的第一道防线,并确保您的其他机器受到保护。
它还使网络设置的其他部分稍微容易一些。不需要在路由器级别转发端口,只需要将一个传入端口转发到堡垒主机。从那里,您可以在您的专用网络上扩展到需要访问的其他机器。不用担心,这将在下一节讨论。
这是一个典型的网络设置示例。如果你需要从外面进入你的家庭网络,你可以通过互联网进入。你的路由器将把这个连接转发给你的堡垒主机。一旦连接到您的堡垒主机,您将能够访问您的网络上的任何其他机器。同样,除了直接从互联网访问堡垒主机之外,将无法访问其他计算机。
拖延够了,有时间使用堡垒。
你们中的精明人可能想知道如何通过互联网接入家庭路由器。大多数internet服务提供商(ISP)都会为您分配一个临时IP地址,该地址经常更改。如果你想要一个静态IP地址,ISP往往会额外收费。好消息是,现代路由器往往有动态DNS烘焙到他们的设置。
动态DNS以设置的时间间隔用新的IP地址更新主机名,确保您始终可以访问家庭网络。有许多供应商提供上述服务,其中之一是没有IP,甚至有一个免费层。请注意,免费层将要求您每30天确认一次主机名。这只是一个10秒的过程,他们无论如何都会提醒你去做。
注册后,只需创建一个主机名。您的主机名必须是唯一的,仅此而已。如果您拥有Netgear路由器,他们提供免费的动态DNS,无需每月确认。
现在登录到您的路由器,并寻找动态DNS设置。这将不同的路由器,但如果你没有发现它潜伏在先进的设置,检查你的**商的用户手册。通常需要输入的四个设置是:
如果您的路由器没有动态DNS设置,则没有IP提供可以安装在本地计算机上以获得相同结果的软件。为了使动态DNS保持最新,这台机器必须联机。
路由器现在需要知道在哪里转发传入的连接。它基于传入连接上的端口号来执行此操作。这里的一个好做法是不使用默认SSH端口(22)作为面向公共的端口。
不使用默认端口的原因是因为黑客有专用的端口嗅探器。这些工具会不断检查网络上可能打开的已知端口。一旦他们发现你的路由器正在默认端口上接受连接,他们就开始用普通用户名和密码发送连接请求。
虽然选择一个随机端口并不能完全阻止恶意的嗅探器,但它会大大减少到路由器的请求数。如果您的路由器只能转发同一个端口,这不是问题,因为您应该将bastion主机设置为使用SSH密钥对身份验证,而不是用户名和密码。
路由器的设置应类似于:
你的堡垒只需要SSH。如果在安装时未选择此选项,只需键入:
sudo apt install OpenSSH-client
sudo apt install OpenSSH-server
安装SSH后,请确保将SSH服务器设置为使用密钥而不是密码进行身份验证。确保您的堡垒主机的IP与上面的端口转发规则中设置的IP相同。
我们可以做个快速测试,确保一切正常。要模拟在家庭网络之外,您可以将智能设备用作移动数据上的热点。打开终端并键入,将<;username>;替换为bastion主机上帐户的用户名,将<;dynamicdnasaddress>;替换为上面步骤a中的地址设置:
ssh -p 52739 <username>@<dynamicDNSaddress>
如果一切都设置正确,你现在应该看到你的堡垒主机终端窗口。
您可以通过SSH(在合理的范围内)对任何内容进行隧道传输。例如,如果您想从internet访问家庭网络上的SMB共享,请连接到bastion主机并打开到SMB共享的隧道。只需运行以下命令即可完成此魔法:
ssh -L 15445:<IPAddressOfSMB>:445 -p 52739 <username>@<dynamicDNSAddress>
实际的命令如下所示:
ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]
打破这个命令很容易。它通过路由器的外部SSH端口52739连接到服务器上的帐户。发送到端口15445(任意端口)的任何本地通信都将通过隧道发送,然后转发到IP为10.1.2.250和SMB端口445的计算机。
如果您想变得非常聪明,我们可以通过键入以下命令来对整个命令进行别名:
alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'
现在你只需要在sss里输入终端,鲍勃是你叔叔。
建立连接后,您可以使用以下地址访问SMB共享:
**b://localhost:15445
这意味着您可以像在本地网络上一样从internet浏览本地共享。如前所述,您几乎可以通过SSH进入任何内容。甚至可以通过SSH隧道访问启用了远程桌面的Windows机器。
这篇文章涉及的不仅仅是一个堡垒的主人,你已经做得很好,使它走到这一步。拥有一个堡垒主机将意味着其他具有公开服务的设备将受到保护。它还确保您可以从世界任何地方访问这些资源。一定要用咖啡、巧克力或两者来庆祝。我们介绍的基本步骤是:
您需要从internet访问本地资源吗?您目前是否使用VPN来实现这一点?你以前用过SSH隧道吗?
图片来源:TopVectors/Depositphotos
... DMZ内的主机与主要内部网络的连接有限,因为它们位于控制两个网络点之间流量的中间防火墙后面。但是,允许一些通信,因此DMZ主机可以向内部和外部网络提供服务。 ...
...的四个提示并安装三个扩展将把你的笔记本电脑变成一个堡垒。可以说,它将成为访问万维网最安全、最安全的方式。 ...
在选择如此广泛的情况下,很难选择一个网络主机。有时,把你的网站留给你当前的主机或者使用免费主机似乎更容易。 ...
... 在没有一键式WordPress安装选项的任何web主机上,您都需要手动设置WordPress。 ...
需要一个地方来托管你的网站吗?找到一个网络主机,无论你是一个新的经营网站或寻找一个新的家你的网站,往往是困难的。有这么多的主机和主机选择,研究合适的主机可以减缓你的行动,甚至完全推迟。 ...
...应用程序中获取的特洛伊木马进行攻击。它进入计算机的主机文件,将流量从通常的URL重定向到这些网站的副本。 ...
...下载并启动FTP客户端。我们用FileZilla。 在主机字段中,键入Mac的IP地址。这是您之前启用远程登录时看到的IP。 在用户名字段中输入您的帐户用户名。这是你的Mac用户帐户。 在密码字...
... 主机需要以帐户所有者或管理员身份访问Zoom User Management。在这里,他们可以授予您加入网络研讨会的正确权限,或者了解如何更新他们的网络研讨会许可证(如果适用)...