Kaitske oma võrku bastioni hostiga vaid 3 sammuga

Kaitske oma võrku bastioni hostiga vaid 3 sammuga

Kas teie sisevõrgus on masinaid, millele peate välismaailmast juurde pääsema? Lahenduseks võib olla bastioni hosti kasutamine võrgu väravavahina.





Mis on Bastioni võõrustaja?

Bastion tähendab sõna otseses mõttes kohta, mis on kindlustatud. Arvuti mõttes on see teie võrgus olev masin, mis võib olla sissetulevate ja väljaminevate ühenduste väravavaht.



Saate määrata oma bastioni hosti ainsaks masinaks, mis võtab vastu sissetulevaid Interneti -ühendusi. Seejärel seadistage omakorda kõik muud võrgus olevad masinad nii, et need võtaksid vastu bastioni hosti sissetulevaid ühendusi. Mis kasu sellest on?





Lisaks kõigele muule turvalisus. Bastioni hostile, nagu nimigi ütleb, võib olla väga tihe turvalisus. See on esimene kaitseliin sissetungijate eest ja tagab teie ülejäänud masinate kaitse.

See muudab ka teie võrgu seadistamise muud osad pisut lihtsamaks. Selle asemel, et suunata pordid ruuteri tasemel, peate lihtsalt edastama ühe sissetuleva pordi oma bastioni hostile. Sealt saate oma privaatvõrgus hargneda teiste masinatega, millele teil on juurdepääs. Ärge kartke, seda käsitletakse järgmises osas.



Diagramm

See on näide tüüpilisest võrguseadistusest. Kui vajate väljastpoolt juurdepääsu oma koduvõrgule, tulge sisse Interneti kaudu. Seejärel edastab teie ruuter selle ühenduse teie bastioni hostile. Kui olete bastioni hostiga ühendatud, pääsete juurde kõikidele teistele võrgu masinatele. Samamoodi ei pääse otse Internetist juurde muudele masinatele peale bastioni hosti.

Piisavalt viivitamist, aega bastioni kasutamiseks.



1. Dünaamiline DNS

Nutikad teie seas võisid mõelda, kuidas saaksite Interneti kaudu juurdepääsu teie kodusele ruuterile. Enamik Interneti -teenuse pakkujaid (ISP) määrab teile ajutise IP -aadressi, mis muutub nii sageli. Interneti -teenuse pakkujad kipuvad lisatasu maksma, kui soovite staatilist IP -aadressi. Hea uudis on see, et tänapäevaste ruuterite seadetes on tavaliselt dünaamiline DNS.

Dünaamiline DNS värskendab teie hostinime määratud ajavahemike järel uue IP -aadressiga, tagades, et pääsete alati oma koduvõrgule juurde. Seda teenust pakuvad paljud teenusepakkujad, millest üks on IP-d puudub, millel on isegi tasuta tase . Pidage meeles, et tasuta tasand nõuab teil oma hostinime kinnitamist üks kord iga 30 päeva tagant. See on vaid 10-sekundiline protsess, mida nad igal juhul meelde tuletavad.



Pärast registreerumist looge lihtsalt hostinimi. Teie hostinimi peab olema ainulaadne ja ongi kõik. Kui teil on Netgeari ruuter, pakuvad nad tasuta dünaamilist DNS -i, mis ei vaja igakuist kinnitust.

kuidas kustutada oma kuuma e -posti konto

Logige nüüd oma ruuterisse sisse ja otsige dünaamilist DNS -i seadet. See erineb ruuterist, kuid kui te ei leia, et see varitseb täpsemate sätete all, vaadake oma tootja kasutusjuhendit. Tavaliselt tuleb sisestada neli seadet:

  1. Pakkuja
  2. Domeeninimi (äsja loodud hostinimi)
  3. Sisselogimisnimi (e -posti aadress, mida kasutati dünaamilise DNS -i loomiseks)
  4. Parool

Kui teie ruuteril pole dünaamilist DNS-i sätet, pakub No-IP tarkvara, mida saate installige oma kohalikku masinasse sama tulemuse saavutamiseks. See masin peab olema võrgus, et hoida dünaamilist DNS -i ajakohasena.

2. Sadama edastamine või ümbersuunamine

Nüüd peab ruuter teadma, kuhu sissetulev ühendus edastada. Seda tehakse sissetuleva ühenduse pordi numbri alusel. Hea tava on see, et avaliku porti puhul ei kasutata vaikimisi kasutatavat SSH -porti, mis on 22.

Vaikimisi kasutatava porti mittekasutamise põhjus on see, et häkkeritel on spetsiaalsed sadama nuusutajad. Need tööriistad kontrollivad pidevalt tuntud porte, mis võivad olla teie võrgus avatud. Kui nad leiavad, et teie ruuter võtab vaikimisi kasutusel olevaid ühendusi vastu, hakkavad nad saatma ühenduse taotlusi tavaliste kasutajanimede ja paroolidega.

Kuigi juhusliku pordi valimine ei peata pahaloomulisi nuusutajaid üldse, vähendab see teie ruuterile saabuvate päringute arvu drastiliselt. Kui teie ruuter suudab edastada ainult sama porti, pole see probleem, kuna peaksite oma bastioni hosti seadistama kasutama SSH võtmepaari autentimist, mitte kasutajanimesid ja paroole.

Ruuteri seaded peaksid välja nägema sarnased:

  1. Teenuse nimi, mis võib olla SSH
  2. Protokoll (peaks olema seatud TCP -le)
  3. Avalik port (peaks olema kõrge port, mis ei ole 22, kasutage 52739)
  4. Privaatne IP (teie bastioni hosti IP)
  5. Privaatport (vaikimisi kasutatav SSH -port, mis on 22)

Bastion

Ainus asi, mida teie bastion vajab, on SSH. Kui seda installimise ajal ei valitud, sisestage lihtsalt:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Kui SSH on installitud, seadistage SSH -server paroolide asemel võtmetega autentimiseks. Veenduge, et teie bastioni hosti IP on sama, mis ülaltoodud pordi edastamise reeglis.

Saame teha kiirtesti, et veenduda, kas kõik töötab. Koduvõrgust väljas viibimise simuleerimiseks saate seda teha kasutage oma nutiseadet levialana kui see on mobiilse andmeside kaudu. Avage terminal ja tippige, asendades oma bastioni hosti konto kasutajanimega ja aadressi seadistamisega ülaltoodud toimingus A:

ssh -p 52739 @

Kui kõik oli õigesti seadistatud, peaksite nüüd nägema oma bastioni hosti terminaliakent.

3. Tunneldamine

SSH kaudu saate tunneliga peaaegu kõike (mõistlikkuse piires) tunnelida. Näiteks kui soovite saada Internetist juurdepääsu oma koduvõrgu SMB -ühiskasutusele, looge ühendus oma bastioni hostiga ja avage SMB -ühiskasutusse tunnel. Täitke see nõidus lihtsalt selle käsuga:

ssh -L 15445::445 -p 52739 @

Tegelik käsk näeks välja umbes selline:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Selle käsu murdmine on lihtne. See ühendub teie serveri kontoga teie ruuteri välise SSH -pordi 52739. kaudu. Kogu kohalik liiklus, mis saadetakse porti 15445 (suvaline port), saadetakse läbi tunneli, seejärel edastatakse masinale IP -aadressiga 10.1.2.250 ja SMB -ga port 445.

Kui soovite tõesti targaks saada, saame kogu käsu varjunime sisestada:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Nüüd peate sisestama terminali sss ja bob on su onu.

Kui ühendus on loodud, pääsete oma SMB -ühiskasutusele juurde aadressiga:

smb://localhost:15445

See tähendab, et saate seda kohalikku osa Internetist sirvida nii, nagu oleksite kohalikus võrgus. Nagu mainitud, saate SSH -ga peaaegu kõike tunnelida. Isegi Windowsi masinatele, millel on kaugtöölaud lubatud, pääseb juurde SSH -tunneli kaudu.

Kordus

See artikkel hõlmas palju enamat kui lihtsalt bastioni peremees ja olete selle saavutamisega hästi hakkama saanud. Bastioni hosti olemasolu tähendab, et teised seadmed, millel on avatud teenused, on kaitstud. Samuti tagab see juurdepääsu nendele ressurssidele kõikjal maailmas. Tähistage kindlasti kohvi, šokolaadi või mõlemaga. Põhilised sammud, mida oleme käsitlenud, olid järgmised:

  • Seadistage dünaamiline DNS
  • Edastage väline port sisepordile
  • Looge tunnel, et pääseda juurde kohalikule ressursile

Kas teil on vaja Interneti kaudu kohalikele ressurssidele juurde pääseda? Kas kasutate praegu selle saavutamiseks VPN -i? Kas olete varem SSH -tunneleid kasutanud?

Pildikrediit: TopVectors/ Depositphotos

Jaga Jaga Piiksuma E -post 3 viisi, kuidas kontrollida, kas e -kiri on tõeline või võlts

Kui olete saanud e -kirja, mis tundub pisut kahtlane, on alati parem kontrollida selle ehtsust. Siin on kolm võimalust, kuidas teada saada, kas e -kiri on tõeline.

Loe edasi Seotud teemad
  • Linux
  • Turvalisus
  • Turvalisus Internetis
  • Linux
Autori kohta Yusuf Limalia(49 artiklit avaldatud)

Yusuf soovib elada maailmas, mis on täis uuenduslikke ettevõtteid, nutitelefonid, mis on komplekteeritud tumeda röstitud kohviga, ja arvutid, millel on hüdrofoobsed jõuväljad, mis lisaks tõrjuvad tolmu. Ärianalüütikuna ja Durbani tehnikaülikooli lõpetanuna, kellel on üle 10 -aastane kogemus kiiresti arenevas tehnoloogiatööstuses, naudib ta keskmist meest tehniliste ja mittetehniliste inimeste vahel ning aitab kõigil tipptasemel tehnoloogiaga kiirust saavutada.

Veel Yusuf Limaliast

Telli meie uudiskiri

Liituge meie uudiskirjaga, et saada tehnilisi näpunäiteid, ülevaateid, tasuta e -raamatuid ja eksklusiivseid pakkumisi!

Tellimiseks klõpsake siin