ssh पोर्ट मेरे घर की मशीन को कहीं से भी एक्सेस करने के लिए आगे


24

मैं इस सवाल से आ रहा हूँ: /superuser/359799/how-to-make-freebsd-box-accessible-from-internet

मैं इस पूरी प्रक्रिया को समझना चाहता हूं port forwarding

मैंने बहुत सी बातें पढ़ी हैं, लेकिन मैं खुद को आगे बढ़ाने की बहुत ही मूल अवधारणा को समझने में असफल रहा हूं।

जो मेरे पास है:

एक freebsd सर्वर मेरे घर पर बैठा है।
netgear राउटर

यही मैं हासिल करने की कोशिश कर रहा हूं:

इंटरनेट पर एक विंडोज़ मशीन से फ्रीबर्ड सर्वर तक पहुंचने में सक्षम होने के लिए एक वेबब्रोसर खोलने और इंटरनेट का उपयोग करने में सक्षम होने के लिए।

मैं भी एक ubuntu मशीन है कि मेरे पास से इस freebsd बॉक्स का उपयोग करना चाहते हैं।

यह बहुत अच्छा होगा अगर कोई मुझे मदद कर सकता है।

यहाँ नेटगियर राउटर सेटअप है जो मैंने पोर्ट फ़ॉरवर्डिंग के लिए किया था।

netgear पोर्ट अग्रेषण


यदि यह एक superuserसवाल है तो कृपया माइग्रेट करें ।
हरि

थोड़ा और स्पष्टीकरण चाहिए। यदि विंडोज मशीन इंटरनेट पर कहीं है और पहले से ही इंटरनेट तक पहुंच है, तो आप इंटरनेट का उपयोग करने के लिए घर पर फ्रीबीएसडी बॉक्स से कनेक्ट क्यों करना चाहते हैं?
OldTimer 19

@OldTimer: मुझे यकीन नहीं है कि आपका सवाल / चिंता कितनी प्रासंगिक है।
हरि

IPv6 पतों का उपयोग करें, कोई NAT नहीं, अब कोई झंझट नहीं; ;-)
Stéphane Gimenez

1
रुकिए! क्या मैंने अभी कहा है कि : - /
स्टीफन जिमेनेज़

जवाबों:


47

मैं कच्चे तथ्यों से शुरू करता हूँ:

  1. आपके पास: A- आपका FreeBSD बॉक्स, B- आपका राउटर और C- इंटरनेट एक्सेस के साथ कुछ मशीन। यह इस तरह दिखता है:

    .-----.      .-----.                        .-----.
    |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
    '-----'      '-----'                        '-----'
    \_________ ________/
              v
               `- this is your LAN
    

    ध्यान दें कि आपका राउटर सामान्य रूप से कैसे काम करता है: यह आपके लैन पर मशीनों से इंटरनेट (केवल बोलने) के लिए कनेक्शन की अनुमति देता है । इसलिए यदि A(या लैन पर कोई अन्य मशीन) इंटरनेट का उपयोग करना चाहती है, तो उसे अनुमति दी जाएगी (फिर, बस बुनियादी समझ और कॉन्फ़िगरेशन के बारे में बात करते हुए:

    .-----.      .-----.                        .-----.
    |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
    '-----'      '-----'                        '-----'
          `-->----'  `--->--->---^  
    

    और डिफ़ॉल्ट रूप से निम्नलिखित की अनुमति नहीं है :

    .-----.      .-----.                        .-----.
    |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
    '-----'      '-----'                        '-----'
          `--<----'  `---<--- - - - - --<---<-----'
    

    (अर्थात, राउटर आपके LAN पर मौजूद मशीनों को इंटरनेट से एक्सेस होने से बचाता है।) ध्यान दें कि राउटर आपके LAN का एकमात्र हिस्सा है जिसे इंटरनेट 1 से देखा जाता है )

  2. पोर्ट अग्रेषण वह है जो तीसरे स्कीमा को जगह देता है। इसमें यह बताया गया है कि राउटर का 2 से क्या कनेक्शन है C) लैन पर किस मशीन पर जाना चाहिए । यह पोर्ट नंबर के आधार पर किया जाता है - इसीलिए इसे पोर्ट फ़ॉरवर्डिंग कहा जाता है । आप राउटर को यह निर्देश देकर कॉन्फ़िगर करते हैं कि इंटरनेट से दिए गए पोर्ट पर आने वाले सभी कनेक्शन लैन पर एक निश्चित मशीन पर जाने चाहिए। यहां मशीन के लिए पोर्ट 22 के लिए एक उदाहरण दिया गया है A:

    .------.     .-------.                        .-----.
    |  A   | ==  |   B   |  - - ( Internet ) - -  |  C  |
    |      |     |       |                        '-----'
    '-|22|-'     ',--|22|'                          |
        `--<-22---'    `---<---- - - - - - --<-22---'
    
  3. इंटरनेट के माध्यम से ऐसे कनेक्शन आईपी पते के आधार पर होते हैं। तो उपरोक्त उदाहरण का थोड़ा और सटीक प्रतिनिधित्व होगा:

    .------.      .-------.                                .-----.
    |  A   |  ==  |   B   | - - - - - ( Internet ) - - - - |  C  |
    |      |      |       |                                '-----'
    '-|22|-'      ',--|22|'                                   |
        `--<-A:22--'    `--<-YourIP:22 - - - - --<-YourIP:22--'
    

    यदि आपके पास एक स्थिर आईपी ​​के साथ इंटरनेट कनेक्शन नहीं है , तो आपको किसी तरह यह सीखना होगा कि आईएसपी द्वारा वर्तमान में आपके राउटर को आईपी क्या सौंपा गया है। अन्यथा, Cयह नहीं पता होगा कि आपके राउटर (और आगे, से A) पर जाने के लिए इसे किस आईपी से कनेक्ट करना है । इसे आसान तरीके से हल करने के लिए, आप डायनेमिक DNS नामक सेवा का उपयोग कर सकते हैं । यह आपके राउटर को समय-समय पर एक विशेष डीएनएस सर्वर को सूचना भेजता है जो आपके आईपी पर नज़र रखेगा और आपको डोमेन नाम प्रदान करेगा । काफी कुछ मुक्त गतिशील DNS प्रदाता हैं। कई राउटर कॉन्फ़िगरेशन विकल्पों के साथ आसानी से संपर्क करते हैं।

1) यह, फिर से, एक सरलीकरण है - जो वास्तविक उपकरण इंटरनेट पर देखा जाता है वह मॉडेम है - जिसे अक्सर राउटर के साथ एकीकृत किया जा सकता है, लेकिन एक अलग बॉक्स भी हो सकता है।
2) या इंटरनेट कनेक्शन के साथ कोई अन्य मशीन।


अब आप क्या चाहते हैं:

  1. बस इंटरनेट से अपनी मशीन तक ssh की पहुँच की अनुमति देना एक बुरा विचार है। पटाखे द्वारा स्थापित हजारों बॉट हैं जो खुले एसएसएच पोर्ट के साथ मशीनों के लिए इंटरनेट की खोज करते हैं। वे आम तौर पर की वे कर सकते हैं के रूप में है और वे कहीं, हासिल करने की कोशिश चल डेमॉन एक SSH लगता है एक बार में कई आईपी के रूप में डिफ़ॉल्ट SSH बंदरगाह पर "दस्तक" bruteforce मशीन के लिए उपयोग। यह न केवल संभावित ब्रेक-इन का खतरा है, बल्कि मशीन के धीमा होने पर नेटवर्क धीमा होने का भी है।

  2. यदि आपको वास्तव में ऐसी पहुंच की आवश्यकता है, तो आपको कम से कम होना चाहिए

    • आश्वासन दें कि आपके पास सभी उपयोगकर्ता खातों के लिए मजबूत पासवर्ड हैं,

    • SSH पर अनुमति न दें रूट पहुँच (आप कभी भी सामान्य उपयोगकर्ता और के रूप में प्रवेश कर सकते हैं suया sudoतो),

    • उस डिफ़ॉल्ट पोर्ट को बदलें जिस पर आपका SSH सर्वर चलेगा,

    • कई SSH लॉगिन प्रयासों को रोकने के लिए एक तंत्र का परिचय दें (बाद के प्रयासों के लिए समय-समय पर प्रतीक्षा के साथ - मुझे याद नहीं है कि यह वास्तव में कैसे कहा जाता है - मैंने इसे कुछ समय पहले FreeBSD पर सक्षम किया था और मुझे याद है कि यह काफी आसान था - प्रयास करें SSH को सुरक्षित करने के बारे में कुछ FreeBSD फ़ोरम इत्यादि खोजना आपको मिलेगा।)

    • यदि संभव हो तो, ssh डेमन को केवल तभी चलाने का प्रयास करें जब आप जानते हैं कि आप निकट भविष्य में मशीन को एक्सेस करने लगेंगे।

  3. अपने सिस्टम लॉग के माध्यम से जाने की आदत डालें। यदि आपको कुछ भी संदिग्ध लगने लगे, तो अतिरिक्त सुरक्षा तंत्रों जैसे कि आईपी ​​टेबल या पोर्ट दस्तक देना शुरू करें


10
Ascii अच्छाई के लिए प्रेरित ...
jasonwryan

विस्तृत विवरण के लिए धन्यवाद। मैं इसे थोड़ा सा पचा लूंगा और वापस टिप्पणी करूंगा।
हरि

मुझे आपकी बात पूरी तरह से लगी। मेरा प्रश्न है, मैंने कॉन्फ़िगर किया है (सही या गलत - मुझे यकीन नहीं है) मेरा नेटगियर राउटर है। मुझे आगे क्या करने की आवश्यकता है?
हरि

2
बाहरी SSH पहुँच के बारे में मेरे संपादन (नीचे) को देखें।
rozcietrzewiacz 21

जानकारी के लिए धन्यवाद। मुझे वह मिल गया जो आप व्यक्त करने की कोशिश कर रहे हैं। मेरा प्रश्न यह है कि मुझे ऐसा करने की क्या आवश्यकता है ताकि कोई भी (जिसके पास इंटरनेट है) उदाहरण के लिए फ्रीबस बॉक्स पर ब्राउज़र चला सके। मैं कैसे सेटअप करूं?
हरि

3

इसे पूरा करने के कुछ तरीके हैं। सबसे आसान शायद एक DMZ के रूप में जाना जाता है स्थापित करने के लिए है। हालाँकि, अधिक सुरक्षित तरीका, आपके राउटर पर पोर्ट 22 पर एक स्टैटिक रूट को आपके सर्वर के IP पर सेट करने के लिए है।

संसाधन:


धन्यवाद। मैंने नेटगियर राउटर पर भाग किया है: मैंने सेटअप पोर्टफोवर्डिंग इस तरह से की है: सेवा: एचटीटीपी पोर्ट: 80 सर्वर आईपी: 192.168.1.16 - यहां यह आईपी मेरे फ्रीबेस बॉक्स का आईपी है। मुझे आगे क्या करना चाहिये?
हरि

अपने स्थान के बाहर से एक परीक्षण सेट करें, मैं व्यक्तिगत रूप से सिर्फ अपने फोन को अपने लैपटॉप पर दे सकता हूं और अपने आईपी पते में ssh'ing की कोशिश करूंगा। मैं मान रहा हूं कि आप अपने बाहरी आईपी पते को जानते हैं। या वैकल्पिक रूप से आप अपने वेब सर्वर पर जा सकते हैं।
मार्क डी

SSH मेरे बाहरी IP के लिए काम नहीं करता है। क्या मुझे अपने फ्रीबस सर्वर पर कुछ भी करने की आवश्यकता है?
हरि

क्या आप अपने आंतरिक नेटवर्क से SSH कर सकते हैं?
मार्क डी

हाँ। मैं इसे कर सकता हूं
हरि

1

यह आपके राउटर द्वारा किया जा सकता है। कुछ राउटर पर इस सुविधा को कहा जाता हैVirtual Server

छवि के नीचे के भाग में देखें पोर्ट पोर्टिंग के दो उदाहरण हैं। एक वेब का है और दूसरा एसएसएच का है। पहले मामले में आपके WAN IP पर अर्थात पोर्ट के साथ आपके राउटर के IP को 80LAN IP में भेज दिया जाएगा ( 192.168.2.4इस मामले में)
इस सुविधा के साथ आप अपने पीसी / दुनिया में कहीं से भी LAN में चल रहे सर्वर पर सेवाएं प्राप्त कर सकते हैं। अर्थात वे सेवाएँ LAN तक सीमित नहीं हैं
पोर्ट राउटर या वर्चुअल सर्वर एक राउटर पर

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.