用堡壘主機保護您的網路只需3個步驟

您是否需要從外部世界訪問內部網路上的計算機和裝置？使用堡壘主機作為您網路的閘道器守護者可能是解決方案。...

您的內部網絡上是否有需要從外部世界訪問的機器？使用堡壘主機作為您網絡的網關守護者可能是解決方案。

什麼是堡壘主人(a bastion host)？

堡壘的字面意思是一個設防的地方。在計算機術語中，它是網絡上的一臺機器，可以作為傳入和傳出連接的網關守護者。

您可以將您的堡壘主機設置為唯一接受來自internet的傳入連接的計算機。然後，依次設置網絡上的所有其他機器，只接收來自堡壘主機的傳入連接。這有什麼好處？

最重要的是安全。堡壘主機，顧名思義，可以有非常嚴密的安全性。它將是抵禦任何入侵者的第一道防線，並確保您的其他機器受到保護。

它還使網絡設置的其他部分稍微容易一些。不需要在路由器級別轉發端口，只需要將一個傳入端口轉發到堡壘主機。從那裡，您可以在您的專用網絡上擴展到需要訪問的其他機器。不用擔心，這將在下一節討論。

圖表

這是一個典型的網絡設置示例。如果你需要從外面進入你的家庭網絡，你可以通過互聯網進入。你的路由器將把這個連接轉發給你的堡壘主機。一旦連接到您的堡壘主機，您將能夠訪問您的網絡上的任何其他機器。同樣，除了直接從互聯網訪問堡壘主機之外，將無法訪問其他計算機。

拖延夠了，有時間使用堡壘。

1動態dns

你們中的精明人可能想知道如何通過互聯網接入家庭路由器。大多數internet服務提供商（ISP）都會為您分配一個臨時IP地址，該地址經常更改。如果你想要一個靜態IP地址，ISP往往會額外收費。好消息是，現代路由器往往有動態DNS烘焙到他們的設置。

動態DNS以設置的時間間隔用新的IP地址更新主機名，確保您始終可以訪問家庭網絡。有許多供應商提供上述服務，其中之一是沒有IP，甚至有一個免費層。請注意，免費層將要求您每30天確認一次主機名。這只是一個10秒的過程，他們無論如何都會提醒你去做。

註冊後，只需創建一個主機名。您的主機名必須是唯一的，僅此而已。如果您擁有Netgear路由器，他們提供免費的動態DNS，無需每月確認。

現在登錄到您的路由器，並尋找動態DNS設置。這將不同的路由器，但如果你沒有發現它潛伏在先進的設置，檢查你的**商的用戶手冊。通常需要輸入的四個設置是：

提供者
域名（您剛剛創建的主機名）
登錄名（用於創建動態DNS的電子郵件地址）
密碼

如果您的路由器沒有動態DNS設置，則沒有IP提供可以安裝在本地計算機上以獲得相同結果的軟件。為了使動態DNS保持最新，這臺機器必須聯機。

2端口轉發或重定向

路由器現在需要知道在哪裡轉發傳入的連接。它基於傳入連接上的端口號來執行此操作。這裡的一個好做法是不使用默認SSH端口（22）作為面向公共的端口。

不使用默認端口的原因是因為黑客有專用的端口嗅探器。這些工具會不斷檢查網絡上可能打開的已知端口。一旦他們發現你的路由器正在默認端口上接受連接，他們就開始用普通用戶名和密碼發送連接請求。

雖然選擇一個隨機端口並不能完全阻止惡意的嗅探器，但它會大大減少到路由器的請求數。如果您的路由器只能轉發同一個端口，這不是問題，因為您應該將bastion主機設置為使用SSH密鑰對身份驗證，而不是用戶名和密碼。

路由器的設置應類似於：

可以是SSH的服務名稱
協議（應設置為TCP）
公共端口（應該是不是22的高端口，使用52739）
專用IP（堡壘主機的IP）
專用端口（默認SSH端口，22）

堡壘

你的堡壘只需要SSH。如果在安裝時未選擇此選項，只需鍵入：

sudo apt install OpenSSH-clientsudo apt install OpenSSH-server

安裝SSH後，請確保將SSH服務器設置為使用密鑰而不是密碼進行身份驗證。確保您的堡壘主機的IP與上面的端口轉發規則中設置的IP相同。

我們可以做個快速測試，確保一切正常。要模擬在家庭網絡之外，您可以將智能設備用作移動數據上的熱點。打開終端並鍵入，將&lt；username&gt；替換為bastion主機上帳戶的用戶名，將&lt；dynamicdnasaddress&gt；替換為上面步驟a中的地址設置：

ssh -p 52739 <username>@<dynamicDNSaddress>

如果一切都設置正確，你現在應該看到你的堡壘主機終端窗口。

三。隧道

您可以通過SSH（在合理的範圍內）對任何內容進行隧道傳輸。例如，如果您想從internet訪問家庭網絡上的SMB共享，請連接到bastion主機並打開到SMB共享的隧道。只需運行以下命令即可完成此魔法：

ssh -L 15445:<IPAddressOfSMB>:445 -p 52739 <username>@<dynamicDNSAddress>

實際的命令如下所示：

ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]

打破這個命令很容易。它通過路由器的外部SSH端口52739連接到服務器上的帳戶。發送到端口15445（任意端口）的任何本地通信都將通過隧道發送，然後轉發到IP為10.1.2.250和SMB端口445的計算機。

如果您想變得非常聰明，我們可以通過鍵入以下命令來對整個命令進行別名：

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'

現在你只需要在sss裡輸入終端，鮑勃是你叔叔。

建立連接後，您可以使用以下地址訪問SMB共享：

**b://localhost:15445

這意味著您可以像在本地網絡上一樣從internet瀏覽本地共享。如前所述，您幾乎可以通過SSH進入任何內容。甚至可以通過SSH隧道訪問啟用了遠程桌面的Windows機器。

扼要重述

這篇文章涉及的不僅僅是一個堡壘的主人，你已經做得很好，使它走到這一步。擁有一個堡壘主機將意味著其他具有公開服務的設備將受到保護。它還確保您可以從世界任何地方訪問這些資源。一定要用咖啡、巧克力或兩者來慶祝。我們介紹的基本步驟是：

設置動態DNS
將外部端口轉發到內部端口
創建隧道以訪問本地資源

您需要從internet訪問本地資源嗎？您目前是否使用VPN來實現這一點？你以前用過SSH隧道嗎？

圖片來源：TopVectors/Depositphotos

發表於 2021-03-12 01:44
閱讀 ( 60 )
分類：電腦

你可能感興趣的文章

您需要更改snapchat隱私設定以保護您的帳戶

...道您的Snapchat帳戶是否安全嗎？Snapchat提供了幾個步驟來保護您的帳戶，而隱私設定可以根據您的喜好設定您在應用程式上的活動和可見性。以下是有關Snapchat中隱私設定的所有資訊如何訪問snapchat隱私設定Snapchat是一個私人訊息...

發佈於 2021-03-11 02:41
閲讀 ( 59 )

什麼是dmz？如何在網路上配置dmz？

... DMZ內的主機與主要內部網路的連線有限，因為它們位於控制兩個網路點之間流量的中間防火牆後面。但是，允許一些通訊，因此DMZ主機可以向內部和外部網路提供服務。 ...

發佈於 2021-03-11 08:47
閲讀 ( 46 )

基於主機和網路的入侵檢測系統的工作原理

... 首先，它們分為兩類：基於主機的和基於網路的。那麼它們之間有什麼區別呢？你如何根據自己的需要選擇合適的系統？ ...

發佈於 2021-03-11 11:17
閲讀 ( 55 )

有windows 10 wi-fi問題嗎？下面是如何修復它

...防火牆應用程式。它允許或阻止傳入和傳出流量，以幫助保護您免受惡意內容的攻擊。但是，有時，它會阻止整個計算機的web訪問。 ...

發佈於 2021-03-11 11:48
閲讀 ( 61 )

透過以下7個步驟保護您的電子產品免受水的侵害

...洪水氾濫，許多人都在想辦法儘量減少家中的水害。除了保護你的家，你還要保護你寶貴的財產。在很多情況下，電子產品是我們擁有的最有價值的東西。 ...

發佈於 2021-03-12 15:34
閲讀 ( 42 )

在linux上保護隱私的10大技巧

... 1密碼保護您的帳戶 ...

發佈於 2021-03-13 08:16
閲讀 ( 59 )

如何讓你的chromebook更安全的7個簡單步驟

...個提示並安裝三個擴充套件將把你的膝上型電腦變成一個堡壘。可以說，它將成為訪問全球資訊網最安全、最安全的方式。 ...

發佈於 2021-03-15 03:03
閲讀 ( 40 )

您是否已採取以下5個步驟來保護您的線上帳戶？

...。你需要先檢查一下你的賬戶是否被洩露了。然後你必須保護它不受入侵者的侵害。 ...

發佈於 2021-03-17 06:04
閲讀 ( 50 )

使用社交登入？採取以下步驟保護您的帳戶

...合服務時。流氓應用在這裡可能是一個巨大的危險，所以保護你的主要帳戶是至關重要的。 ...

發佈於 2021-03-17 08:20
閲讀 ( 42 )

如何保護您的d-link無線路由器

...私的核心硬體。花點時間配置你的D-Link Wi-Fi路由器可以在保護你的家，你的電腦，和你的家人方面起到很大的作用。 ...

發佈於 2021-03-17 19:23
閲讀 ( 37 )