只需3个步骤,即可使用堡垒主机保护网络

您的内部网络上是否有需要从外部访问的计算机?使用堡垒主机作为网络的网守可能是解决方案。

什么是堡垒主机?

堡垒实际上是在一个坚固的地方进行转换。用计算机的术语来说,它是网络上的一台计算机,可以充当传入和传出连接的网守。

您可以将堡垒主机设置为唯一一个接受来自Internet的传入连接的计算机。然后,依次将网络上的所有其他计算机设置为仅接收来自堡垒主机的传入连接。这有什么好处?

除了安全以外,还有其他一切。顾名思义,堡垒主机可以具有非常严格的安全性。这将是抵御任何入侵者的第一道防线,并确保保护您的其余计算机。

这也使网络设置的其他部分更加容易。无需在路由器级别转发端口,只需要将一个传入端口转发到堡垒主机。从那里,您可以分支到需要在专用网络上访问的其他计算机。不用担心,下一节将对此进行介绍。

图表

这是典型网络设置的示例。如果您需要从外部访问家庭网络,则可以通过互联网进入。然后,您的路由器将把该连接转发到堡垒主机。连接到堡垒主机后,您将可以访问网络上的任何其他计算机。同样,除了堡垒主机以外,其他任何人都无法直接从互联网访问机器。

足够的拖延时间和使用堡垒的时间。

1。动态DNS

您当中的一个聪明人可能一直想知道如何通过互联网访问您的家庭路由器。大多数Internet服务提供商(ISP)为您分配一个临时IP地址,该地址经常更改。如果您想要一个静态IP地址,ISP往往会收取额外的费用。好消息是,现代路由器倾向于将动态DNS纳入其设置。

动态DNS会在设置的时间间隔内使用新IP地址更新您的主机名,以确保您始终可以访问家庭网络。有许多提供上述服务的提供商,其中之一就是No-IP,甚至还有免费套餐。请注意,免费套餐要求您每30天确认一次主机名。这只是一个10秒钟的过程,他们提醒他们仍然可以这样做。

注册后,只需创建一个主机名即可。您的主机名必须唯一,仅此而已。如果您拥有Netgear路由器,则它们会提供免费的动态DNS,而无需每月确认。

现在登录到路由器,然后查找动态DNS设置。路由器与路由器之间会有所不同,但是如果您在高级设置下找不到它,请参阅制造商的用户手册。通常需要输入的四个设置为:

  • 提供商
  • 域名(您刚刚创建的主机名)
  • 登录名(使用的电子邮件地址)创建动态DNS)
  • 密码

    • 如果路由器没有动态DNS设置,则No-IP提供的软件可以安装在本地计算机上以达到相同的结果。为了使动态DNS保持最新状态,该计算机必须处于联机状态。

    2。端口转发或重定向

    路由器现在需要知道将传入连接转发到何处。它根据传入连接上的端口号执行此操作。此处的一个好习惯是不要将默认的SSH端口22用作面向公众的端口。

    不使用默认端口的原因是因为黑客具有专用的端口嗅探器。这些工具会不断检查网络上可能打开的知名端口。一旦他们发现您的路由器正在默认端口上接受连接,他们便开始使用通用的用户名和密码发送连接请求。

    尽管选择一个随机端口不会完全阻止恶性嗅探器,但是它将大大减少发送到路由器的请求数。如果您的路由器只能转发相同的端口,那不是问题,因为您应该将堡垒主机设置为使用SSH密钥对身份验证,而不使用用户名和密码。

    路由器的设置应类似于以下内容:

  • 服务名称可以是SSH
  • 协议(应设置为TCP)
  • 公共端口(应为高端口,不是22 ,请使用52739)
  • 私有IP(堡垒主机的IP)
  • 私有端口(默认SSH端口为22)

    • 您的堡垒将需要的是SSH。如果在安装时未选择此选项,则只需键入:

    sudo apt install OpenSSH-clientsudo apt install OpenSSH-server

    一旦安装了SSH,请确保将SSH服务器设置为使用密钥而不是密码进行身份验证。确保您的堡垒主机的IP与上面的端口转发规则中的设置相同。

    我们可以运行快速测试以确保一切正常。为了模拟不在家庭网络中的情况,您可以将智能设备用作移动数据上的热点。打开终端并输入,将替换为堡垒主机上帐户的用户名,并将替换为上述步骤A中设置的地址:

    ssh -p 52739 <username>@<dynamicDNSaddress>

    如果所有设置均正确,则现在应该请参阅堡垒主机的终端窗口。

    3。隧道

    您几乎可以通过SSH隧道(在合理范围内)。例如,如果您想从Internet访问家庭网络上的SMB共享,​​请连接到堡垒主机并打开通往SMB共享的隧道。只需运行以下命令即可完成此法术:

    ssh -L 15445:<IPAddressOfSMB>:445 -p 52739 <username>@<dynamicDNSAddress>

    实际命令如下:

    ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]

    轻松执行此命令很简单。这将通过路由器的外部SSH端口52739连接到服务器上的帐户。发送到端口15445(任意端口)的所有本地流量都将通过隧道发送,然后转发到IP为10.1.2.250和SMB的计算机。端口445。

    如果您想变得非常聪明,我们可以通过键入以下内容来为整个命令添加别名:

    alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'

    现在,您只需在 sss中输入终端,而bob是你的叔叔。

    建立连接后,您可以使用以下地址访问您的SMB共享:

    smb://localhost:15445

    这意味着您可以浏览该本地从互联网共享,就像您在本地网络上一样。如前所述,您几乎可以使用SSH隧道连接任何东西。即使启用了远程桌面的Windows计算机也可以通过SSH隧道进行访问。

    概述

    本文不仅介绍了堡垒主机,还介绍了很多内容。做到这一点。拥有堡垒主机将意味着具有公开服务的其他设备将受到保护。它还确保您可以从世界任何地方访问这些资源。一定要用咖啡,巧克力或两者一起庆祝。我们介绍的基本步骤是:

  • 设置动态DNS
  • 将外部端口转发到内部端口
  • 创建隧道以访问本地资源

    • 您需要从互联网访问本地资源吗?您当前是否使用VPN来实现这一目标?您以前使用过SSH隧道吗?

    图片来源:TopVectors / Depositphotos

    标签: Linux 在线安全性