您的內部網絡上是否有需要從外部世界訪問的機器?使用堡壘主機作為您網絡的網關守護者可能是解決方案。
堡壘的字面意思是一個設防的地方。在計算機術語中,它是網絡上的一臺機器,可以作為傳入和傳出連接的網關守護者。
您可以將您的堡壘主機設置為唯一接受來自internet的傳入連接的計算機。然後,依次設置網絡上的所有其他機器,只接收來自堡壘主機的傳入連接。這有什麼好處?
最重要的是安全。堡壘主機,顧名思義,可以有非常嚴密的安全性。它將是抵禦任何入侵者的第一道防線,並確保您的其他機器受到保護。
它還使網絡設置的其他部分稍微容易一些。不需要在路由器級別轉發端口,只需要將一個傳入端口轉發到堡壘主機。從那裡,您可以在您的專用網絡上擴展到需要訪問的其他機器。不用擔心,這將在下一節討論。
這是一個典型的網絡設置示例。如果你需要從外面進入你的家庭網絡,你可以通過互聯網進入。你的路由器將把這個連接轉發給你的堡壘主機。一旦連接到您的堡壘主機,您將能夠訪問您的網絡上的任何其他機器。同樣,除了直接從互聯網訪問堡壘主機之外,將無法訪問其他計算機。
拖延夠了,有時間使用堡壘。
你們中的精明人可能想知道如何通過互聯網接入家庭路由器。大多數internet服務提供商(ISP)都會為您分配一個臨時IP地址,該地址經常更改。如果你想要一個靜態IP地址,ISP往往會額外收費。好消息是,現代路由器往往有動態DNS烘焙到他們的設置。
動態DNS以設置的時間間隔用新的IP地址更新主機名,確保您始終可以訪問家庭網絡。有許多供應商提供上述服務,其中之一是沒有IP,甚至有一個免費層。請注意,免費層將要求您每30天確認一次主機名。這只是一個10秒的過程,他們無論如何都會提醒你去做。
註冊後,只需創建一個主機名。您的主機名必須是唯一的,僅此而已。如果您擁有Netgear路由器,他們提供免費的動態DNS,無需每月確認。
現在登錄到您的路由器,並尋找動態DNS設置。這將不同的路由器,但如果你沒有發現它潛伏在先進的設置,檢查你的**商的用戶手冊。通常需要輸入的四個設置是:
如果您的路由器沒有動態DNS設置,則沒有IP提供可以安裝在本地計算機上以獲得相同結果的軟件。為了使動態DNS保持最新,這臺機器必須聯機。
路由器現在需要知道在哪裡轉發傳入的連接。它基於傳入連接上的端口號來執行此操作。這裡的一個好做法是不使用默認SSH端口(22)作為面向公共的端口。
不使用默認端口的原因是因為黑客有專用的端口嗅探器。這些工具會不斷檢查網絡上可能打開的已知端口。一旦他們發現你的路由器正在默認端口上接受連接,他們就開始用普通用戶名和密碼發送連接請求。
雖然選擇一個隨機端口並不能完全阻止惡意的嗅探器,但它會大大減少到路由器的請求數。如果您的路由器只能轉發同一個端口,這不是問題,因為您應該將bastion主機設置為使用SSH密鑰對身份驗證,而不是用戶名和密碼。
路由器的設置應類似於:
你的堡壘只需要SSH。如果在安裝時未選擇此選項,只需鍵入:
sudo apt install OpenSSH-clientsudo apt install OpenSSH-server安裝SSH後,請確保將SSH服務器設置為使用密鑰而不是密碼進行身份驗證。確保您的堡壘主機的IP與上面的端口轉發規則中設置的IP相同。
我們可以做個快速測試,確保一切正常。要模擬在家庭網絡之外,您可以將智能設備用作移動數據上的熱點。打開終端並鍵入,將<;username>;替換為bastion主機上帳戶的用戶名,將<;dynamicdnasaddress>;替換為上面步驟a中的地址設置:
ssh -p 52739 <username>@<dynamicDNSaddress>如果一切都設置正確,你現在應該看到你的堡壘主機終端窗口。
您可以通過SSH(在合理的範圍內)對任何內容進行隧道傳輸。例如,如果您想從internet訪問家庭網絡上的SMB共享,請連接到bastion主機並打開到SMB共享的隧道。只需運行以下命令即可完成此魔法:
ssh -L 15445:<IPAddressOfSMB>:445 -p 52739 <username>@<dynamicDNSAddress>實際的命令如下所示:
ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]打破這個命令很容易。它通過路由器的外部SSH端口52739連接到服務器上的帳戶。發送到端口15445(任意端口)的任何本地通信都將通過隧道發送,然後轉發到IP為10.1.2.250和SMB端口445的計算機。
如果您想變得非常聰明,我們可以通過鍵入以下命令來對整個命令進行別名:
alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'現在你只需要在sss裡輸入終端,鮑勃是你叔叔。
建立連接後,您可以使用以下地址訪問SMB共享:
**b://localhost:15445這意味著您可以像在本地網絡上一樣從internet瀏覽本地共享。如前所述,您幾乎可以通過SSH進入任何內容。甚至可以通過SSH隧道訪問啟用了遠程桌面的Windows機器。
這篇文章涉及的不僅僅是一個堡壘的主人,你已經做得很好,使它走到這一步。擁有一個堡壘主機將意味著其他具有公開服務的設備將受到保護。它還確保您可以從世界任何地方訪問這些資源。一定要用咖啡、巧克力或兩者來慶祝。我們介紹的基本步驟是:
您需要從internet訪問本地資源嗎?您目前是否使用VPN來實現這一點?你以前用過SSH隧道嗎?
圖片來源:TopVectors/Depositphotos
...道您的Snapchat帳戶是否安全嗎?Snapchat提供了幾個步驟來保護您的帳戶,而隱私設定可以根據您的喜好設定您在應用程式上的活動和可見性。以下是有關Snapchat中隱私設定的所有資訊如何訪問snapchat隱私設定Snapchat是一個私人訊息...
... DMZ內的主機與主要內部網路的連線有限,因為它們位於控制兩個網路點之間流量的中間防火牆後面。但是,允許一些通訊,因此DMZ主機可以向內部和外部網路提供服務。 ...
... 首先,它們分為兩類:基於主機的和基於網路的。那麼它們之間有什麼區別呢?你如何根據自己的需要選擇合適的系統? ...
...防火牆應用程式。它允許或阻止傳入和傳出流量,以幫助保護您免受惡意內容的攻擊。但是,有時,它會阻止整個計算機的web訪問。 ...
...洪水氾濫,許多人都在想辦法儘量減少家中的水害。除了保護你的家,你還要保護你寶貴的財產。在很多情況下,電子產品是我們擁有的最有價值的東西。 ...
...個提示並安裝三個擴充套件將把你的膝上型電腦變成一個堡壘。可以說,它將成為訪問全球資訊網最安全、最安全的方式。 ...
...私的核心硬體。花點時間配置你的D-Link Wi-Fi路由器可以在保護你的家,你的電腦,和你的家人方面起到很大的作用。 ...