어디서나 내 집 컴퓨터에 액세스할 수 있는 SSH 포트 포워딩

Question 1

나는 원시 사실부터 시작하겠습니다.

당신은 다음을 가지고 있습니다: A- FreeBSD 상자, B- 라우터, C- 인터넷 접속이 가능한 기계. 다음과 같이 진행됩니다.
```
.-----.      .-----.                        .-----.
|  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
'-----'      '-----'                        '-----'
\_________ ________/
          v
           `- this is your LAN
```
라우터의 작동 방식에 주의를 기울이세요.대개유효함: 연결을 허용합니다.~에서LAN상의 머신도착하다인터넷(간단히 말하면). 따라서 A(또는 LAN의 다른 시스템) 인터넷에 액세스하려는 경우 허용됩니다(기본 이해 및 구성에 대해 다시 이야기합니다).
```
.-----.      .-----.                        .-----.
|  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
'-----'      '-----'                        '-----'
      `-->----'  `--->--->---^  
```
다음은아니요기본적으로 허용됨:
```
.-----.      .-----.                        .-----.
|  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
'-----'      '-----'                        '-----'
      `--<----'  `---<--- - - - - --<---<-----'
```
(즉, 라우터보호하다LAN에 있는 컴퓨터는 인터넷에서 액세스할 수 없습니다. ) 라우터는 LAN에서 유일하게 보이는 부분입니다.~에서인터넷1 ⁾ .
포트 전달을 통해 세 번째 모드가 발생할 수 있습니다. 여기에는 라우터에 알리는 것이 포함됩니다.무엇C²⁾ 연결은 다음으로 이동해야 합니다.어느LAN의 기계. 이는 다음을 기반으로 합니다.포트 번호- 그래서 그렇게 불린다.포워드 포트. 특정 포트의 모든 연결을 인터넷에서 LAN의 특정 컴퓨터로 보내도록 지시하여 라우터를 구성할 수 있습니다. 다음은 포트 22를 머신에 전달하는 예입니다 A.
```
.------.     .-------.                        .-----.
|  A   | ==  |   B   |  - - ( Internet ) - -  |  C  |
|      |     |       |                        '-----'
'-|22|-'     ',--|22|'                          |
    `--<-22---'    `---<---- - - - - - --<-22---'
```
인터넷을 통한 이 연결은 IP 주소를 기반으로 합니다. 따라서 위의 예를 보다 정확하게 표현하면 다음과 같습니다.
```
.------.      .-------.                                .-----.
|  A   |  ==  |   B   | - - - - - ( Internet ) - - - - |  C  |
|      |      |       |                                '-----'
'-|22|-'      ',--|22|'                                   |
    `--<-A:22--'    `--<-YourIP:22 - - - - --<-YourIP:22--'
```
인터넷에 연결되어 있지 않은 경우변화 없는IP를 사용하려면 현재 ISP가 라우터에 할당한 IP를 알아야 합니다. 그렇지 않으면 C라우터(및 그 이상)에 도달하기 위해 어떤 IP에 연결해야 하는지 알 수 없습니다 A. 이 문제를 간단한 방법으로 해결하려면 다음과 같은 서비스를 사용할 수 있습니다.동적 도메인 이름 확인. 이렇게 하면 라우터가 정기적으로 특별 서비스로 정보를 보내게 됩니다.DNS 서버귀하의 IP를 추적하여 귀하에게 정보를 제공합니다.도메인 이름. 무료 동적 DNS 제공업체가 많이 있습니다. 많은 라우터에는 이러한 라우터에 쉽게 연결할 수 있는 구성 옵션이 제공됩니다.

_{¹⁾ 이것은 다시 단순화된 것입니다. 인터넷에 표시되는 실제 장치는 모뎀입니다. 모뎀은 일반적으로 라우터와 통합될 수 있지만 별도의 상자일 수도 있습니다.

²⁾ 또는 인터넷에 연결된 다른 컴퓨터.}

이제 무엇을 원하시나요:

단순히 인터넷에서 컴퓨터에 SSH 액세스를 허용하는 것은 좋지 않은 생각입니다. 수천 개의 봇이 만들어졌습니다.비스킷SSH 포트가 열려 있는 컴퓨터를 인터넷에서 검색하세요. 그들은 일반적으로 가능한 한 많은 IP의 기본 SSH 포트에 "접속"하고 어딘가에서 실행 중인 SSH 데몬을 찾으면무차별 대입 크래킹기계에 접근하세요. 이는 잠재적인 침입 위험을 나타낼 뿐만 아니라 시스템이 무차별 공격을 받을 경우 네트워크 속도가 저하될 위험도 있습니다.
정말로 그러한 액세스가 필요한 경우 최소한
- 당신이 가지고 있는지 확인하십시오강한모든 사용자 계정의 비밀번호,
- SSH를 통한 루트 액세스를 비활성화합니다(항상 일반 사용자로 로그인하거나 로그인할 수 있음 su) sudo.
- SSH 서버가 실행되는 기본 포트를 변경합니다.
- 여러 SSH 로그인 시도를 비활성화하는 메커니즘을 도입합니다. (다음 시도에 대한 대기 시간을 늘립니다. 이것이 정확히 무엇인지 기억나지 않습니다. 얼마 전에 FreeBSD에서 활성화했는데 쉬웠던 것으로 기억합니다. 일부 FreeBSD 포럼을 검색해 보세요. SSH 보안에 대해 읽을 때 찾을 수 있습니다).
- 가능하다면 가까운 시일 내에 머신에 액세스할 예정인 경우에만 ssh 데몬을 실행한 다음 종료하세요.
시스템 로그 검색에 익숙해지세요. 의심스러운 점이 발견되기 시작하면 다음과 같은 추가 보안 메커니즘을 도입하세요.IP 테이블또는포트 노크.

Answer

나는 원시 사실부터 시작하겠습니다.

당신은 다음을 가지고 있습니다: A- FreeBSD 상자, B- 라우터, C- 인터넷 접속이 가능한 기계. 다음과 같이 진행됩니다.
```
.-----.      .-----.                        .-----.
|  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
'-----'      '-----'                        '-----'
\_________ ________/
          v
           `- this is your LAN
```
라우터의 작동 방식에 주의를 기울이세요.대개유효함: 연결을 허용합니다.~에서LAN상의 머신도착하다인터넷(간단히 말하면). 따라서 A(또는 LAN의 다른 시스템) 인터넷에 액세스하려는 경우 허용됩니다(기본 이해 및 구성에 대해 다시 이야기합니다).
```
.-----.      .-----.                        .-----.
|  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
'-----'      '-----'                        '-----'
      `-->----'  `--->--->---^  
```
다음은아니요기본적으로 허용됨:
```
.-----.      .-----.                        .-----.
|  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
'-----'      '-----'                        '-----'
      `--<----'  `---<--- - - - - --<---<-----'
```
(즉, 라우터보호하다LAN에 있는 컴퓨터는 인터넷에서 액세스할 수 없습니다. ) 라우터는 LAN에서 유일하게 보이는 부분입니다.~에서인터넷1 ⁾ .
포트 전달을 통해 세 번째 모드가 발생할 수 있습니다. 여기에는 라우터에 알리는 것이 포함됩니다.무엇C²⁾ 연결은 다음으로 이동해야 합니다.어느LAN의 기계. 이는 다음을 기반으로 합니다.포트 번호- 그래서 그렇게 불린다.포워드 포트. 특정 포트의 모든 연결을 인터넷에서 LAN의 특정 컴퓨터로 보내도록 지시하여 라우터를 구성할 수 있습니다. 다음은 포트 22를 머신에 전달하는 예입니다 A.
```
.------.     .-------.                        .-----.
|  A   | ==  |   B   |  - - ( Internet ) - -  |  C  |
|      |     |       |                        '-----'
'-|22|-'     ',--|22|'                          |
    `--<-22---'    `---<---- - - - - - --<-22---'
```
인터넷을 통한 이 연결은 IP 주소를 기반으로 합니다. 따라서 위의 예를 보다 정확하게 표현하면 다음과 같습니다.
```
.------.      .-------.                                .-----.
|  A   |  ==  |   B   | - - - - - ( Internet ) - - - - |  C  |
|      |      |       |                                '-----'
'-|22|-'      ',--|22|'                                   |
    `--<-A:22--'    `--<-YourIP:22 - - - - --<-YourIP:22--'
```
인터넷에 연결되어 있지 않은 경우변화 없는IP를 사용하려면 현재 ISP가 라우터에 할당한 IP를 알아야 합니다. 그렇지 않으면 C라우터(및 그 이상)에 도달하기 위해 어떤 IP에 연결해야 하는지 알 수 없습니다 A. 이 문제를 간단한 방법으로 해결하려면 다음과 같은 서비스를 사용할 수 있습니다.동적 도메인 이름 확인. 이렇게 하면 라우터가 정기적으로 특별 서비스로 정보를 보내게 됩니다.DNS 서버귀하의 IP를 추적하여 귀하에게 정보를 제공합니다.도메인 이름. 무료 동적 DNS 제공업체가 많이 있습니다. 많은 라우터에는 이러한 라우터에 쉽게 연결할 수 있는 구성 옵션이 제공됩니다.

_{¹⁾ 이것은 다시 단순화된 것입니다. 인터넷에 표시되는 실제 장치는 모뎀입니다. 모뎀은 일반적으로 라우터와 통합될 수 있지만 별도의 상자일 수도 있습니다.

²⁾ 또는 인터넷에 연결된 다른 컴퓨터.}

이제 무엇을 원하시나요:

단순히 인터넷에서 컴퓨터에 SSH 액세스를 허용하는 것은 좋지 않은 생각입니다. 수천 개의 봇이 만들어졌습니다.비스킷SSH 포트가 열려 있는 컴퓨터를 인터넷에서 검색하세요. 그들은 일반적으로 가능한 한 많은 IP의 기본 SSH 포트에 "접속"하고 어딘가에서 실행 중인 SSH 데몬을 찾으면무차별 대입 크래킹기계에 접근하세요. 이는 잠재적인 침입 위험을 나타낼 뿐만 아니라 시스템이 무차별 공격을 받을 경우 네트워크 속도가 저하될 위험도 있습니다.
정말로 그러한 액세스가 필요한 경우 최소한
- 당신이 가지고 있는지 확인하십시오강한모든 사용자 계정의 비밀번호,
- SSH를 통한 루트 액세스를 비활성화합니다(항상 일반 사용자로 로그인하거나 로그인할 수 있음 su) sudo.
- SSH 서버가 실행되는 기본 포트를 변경합니다.
- 여러 SSH 로그인 시도를 비활성화하는 메커니즘을 도입합니다. (다음 시도에 대한 대기 시간을 늘립니다. 이것이 정확히 무엇인지 기억나지 않습니다. 얼마 전에 FreeBSD에서 활성화했는데 쉬웠던 것으로 기억합니다. 일부 FreeBSD 포럼을 검색해 보세요. SSH 보안에 대해 읽을 때 찾을 수 있습니다).
- 가능하다면 가까운 시일 내에 머신에 액세스할 예정인 경우에만 ssh 데몬을 실행한 다음 종료하세요.
시스템 로그 검색에 익숙해지세요. 의심스러운 점이 발견되기 시작하면 다음과 같은 추가 보안 메커니즘을 도입하세요.IP 테이블또는포트 노크.

Question 2

이를 달성하는 방법에는 여러 가지가 있습니다. 가장 쉬운 방법은 DMZ를 설정하는 것입니다. 그러나 보다 안전한 접근 방식은 라우터의 포트 22에서 서버 IP에 대한 고정 경로를 설정하는 것입니다.

자원:

포트 전달은 어떻게 구성됩니까?(NETGEAR 페이지의 보관된 사본)
더 빠른 인터넷을 위해 전달하는 방법 (현재이지만 위의 불완전한 사본은 TechRadar에 있습니다)
VPN 사례 연구 FAQ

Answer

이를 달성하는 방법에는 여러 가지가 있습니다. 가장 쉬운 방법은 DMZ를 설정하는 것입니다. 그러나 보다 안전한 접근 방식은 라우터의 포트 22에서 서버 IP에 대한 고정 경로를 설정하는 것입니다.

자원:

포트 전달은 어떻게 구성됩니까?(NETGEAR 페이지의 보관된 사본)
더 빠른 인터넷을 위해 전달하는 방법 (현재이지만 위의 불완전한 사본은 TechRadar에 있습니다)
VPN 사례 연구 FAQ

Question 3

이 작업은 라우터를 통해 수행할 수 있습니다. 일부 라우터에서는 이 기능을Virtual Server

포트 전달의 두 가지 예가 포함된 아래 이미지를 참조하세요. 하나는 웹 방식이고, 다른 하나는 SSH 방식입니다. 첫 번째 경우 WAN IP(예: 포트가 있는 라우터의 IP)에 대한 모든 요청은 LAN IP( 이 경우) 80로 전달됩니다. 이 기능을 사용하면 전 세계 어디에서나 수신 전화를 받을 수 있습니다. PC에서 실행되는 서비스 /LAN에서 실행되는 서버. 즉, 이러한 서비스는 LAN으로 제한되지 않습니다.192.168.2.4

Answer

이 작업은 라우터를 통해 수행할 수 있습니다. 일부 라우터에서는 이 기능을Virtual Server

포트 전달의 두 가지 예가 포함된 아래 이미지를 참조하세요. 하나는 웹 방식이고, 다른 하나는 SSH 방식입니다. 첫 번째 경우 WAN IP(예: 포트가 있는 라우터의 IP)에 대한 모든 요청은 LAN IP( 이 경우) 80로 전달됩니다. 이 기능을 사용하면 전 세계 어디에서나 수신 전화를 받을 수 있습니다. PC에서 실행되는 서비스 /LAN에서 실행되는 서버. 즉, 이러한 서비스는 LAN으로 제한되지 않습니다.192.168.2.4

어디서나 내 집 컴퓨터에 액세스할 수 있는 SSH 포트 포워딩

답변1

나는 원시 사실부터 시작하겠습니다.

이제 무엇을 원하시나요:

답변2

답변3

관련 정보