Aizsargājiet savu tīklu ar bastionu saimnieku tikai 3 soļos

Reklāma

Vai jūsu iekšējā tīklā ir mašīnas, kurām jums jāpiekļūst no ārpasaules? Iespējams, ka risinājums būs bastionu resursdatora izmantošana kā tīkla vārtsargs.

Kas ir bastionu saimnieks?

Bastīts burtiski nozīmē vietu, kas ir stiprināta. Datoru ziņā tā ir mašīna jūsu tīklā, kas var būt ienākošo un izejošo savienojumu vārtsargs.

Jūs varat iestatīt bastionu saimnieku kā vienīgo mašīnu, kas pieņem ienākošos savienojumus no interneta. Pēc tam, savukārt, iestatiet visas pārējās tīkla mašīnas tā, lai tās saņemtu tikai ienākošos savienojumus no bastiona resursdatora. Kādas ir tā priekšrocības?

Pār visu pārējo - drošība. Kā norāda nosaukums, bastionu saimniecei var būt ļoti ierobežota drošība. Tā būs pirmā aizsardzības līnija pret iebrucējiem un nodrošinās pārējo jūsu mašīnu aizsardzību.

Tas nedaudz atvieglo arī citas tīkla iestatīšanas daļas. Tā vietā, lai pārsūtītu ostas maršrutētāja līmenī, jums vienkārši jāpārsūta viens ienākošais ports uz bastionu resursdatoru. Turpmāk jūs varat sazaroties citās mašīnās, kurām jums ir nepieciešama piekļuve privātajā tīklā. Nebaidieties, tas tiks apskatīts nākamajā sadaļā.

Diagramma

Šis ir tipiskas tīkla iestatīšanas piemērs. Ja jums ir nepieciešama piekļuve jūsu mājas tīklam no ārpuses, jūs ienāksit, izmantojot internetu. Pēc tam maršrutētājs pārsūtīs šo savienojumu uz jūsu bastionu. Kad būs izveidots savienojums ar bastionu saimnieku, jūs varēsit piekļūt visām citām tīkla mašīnām. Tāpat tieši no interneta nebūs piekļuves mašīnām, izņemot bastionu resursdatoru.

Pietiekami kavēšanās, laiks izmantot bastionu.

1. Dinamiskais DNS

Starp jums saudzīgajiem varētu šķist, kā ar interneta starpniecību piekļūt jūsu mājas maršrutētājam. Lielākā daļa interneta pakalpojumu sniedzēju (ISP) piešķir jums pagaidu IP adresi, kas mainās ik pēc tik bieži. Interneta pakalpojumu sniedzēji mēdz iekasēt papildu maksu, ja vēlaties statisku IP adresi. Labās ziņas ir tas, ka mūsdienu maršrutētāju iestatījumos parasti tiek iebūvēts dinamisks DNS.

Dinamiskais DNS atjaunina jūsu resursdatora vārdu ar jauno IP adresi noteiktos laika intervālos, nodrošinot, ka vienmēr varat piekļūt mājas tīklam. Ir daudz pakalpojumu sniedzēju, kas piedāvā minēto pakalpojumu, no kuriem viens ir Bez IP, kam pat ir bezmaksas līmenis. Ņemiet vērā, ka bezmaksas līmenim jums būs jāapstiprina resursdatora nosaukums reizi 30 dienās. Tas ir tikai 10 sekunžu ilgs process, kuru viņi jebkurā gadījumā atgādina.

Pēc reģistrēšanās vienkārši izveidojiet resursdatora nosaukumu. Jūsu resursdatora nosaukumam būs jābūt unikālam, un tas arī ir. Ja jums pieder Netgear maršrutētājs, tie piedāvā bezmaksas dinamisko DNS, kam nav nepieciešams ikmēneša apstiprinājums.

Tagad piesakieties maršrutētājā un meklējiet dinamisko DNS iestatījumu. Tas atšķirsies no maršrutētāja uz maršrutētāju, bet, ja jūs neatradīsit to aizraujošos ar papildu iestatījumiem, pārbaudiet ražotāja lietotāja rokasgrāmatu. Četri iestatījumi, kas parasti jāievada, būs šādi:

1. Sniedzējs
2. Domēna vārds (tikko izveidots resursdatora nosaukums)
3. Pieteikšanās vārds (e-pasta adrese, kuru izmantojat, lai izveidotu dinamisko DNS)
4. Parole

Ja maršrutētājam nav dinamiska DNS iestatījuma, No-IP nodrošina programmatūru, kuru varat instalējiet vietējā mašīnā lai sasniegtu tādu pašu rezultātu. Lai atjauninātu dinamisko DNS, šai mašīnai būs jābūt tiešsaistē.

2. Ostas pāradresācija vai pāradresācija

Maršrutētājam tagad jāzina, kur pārsūtīt ienākošo savienojumu. Tas tiek darīts, pamatojoties uz ostas numuru, kas atrodas ienākošajā savienojumā. Laba prakse ir neizmantot noklusējuma SSH portu, kas ir 22, sabiedrībai paredzētā ostā.

Noklusējuma porta neizmantošanas iemesls ir tas, ka hakeriem ir īpaši portu šifrētāji. Šie rīki pastāvīgi pārbauda, ​​vai nav labi zināmu ostu, kuras var būt atvērtas jūsu tīklā. Kad viņi atrod, ka jūsu maršrutētājs pieņem savienojumus noklusējuma portā, viņi sāk sūtīt savienojuma pieprasījumus ar kopīgiem lietotājvārdiem un parolēm.

Kaut arī izvēloties izlases portu, ļaundabīgie ļaundari netiks pilnībā apturēti, tas krasi samazinās jūsu maršrutētājam saņemto pieprasījumu skaitu. Ja maršrutētājs var pārsūtīt tikai vienu un to pašu portu, tā nav problēma, jo bastionu saimniekdatoram vajadzētu iestatīt SSH keypair autentifikāciju, nevis lietotājvārdus un paroles.

Maršrutētāja iestatījumiem vajadzētu izskatīties līdzīgi kā šis:

1. Pakalpojuma nosaukums, kas var būt SSH
2. Protokols (jāiestata TCP)
3. Publiskā osta (jābūt lielai ostai, kurai nav 22, izmantojiet 52739)
4. Privāts IP (jūsu bastionu resursdatora IP)
5. Privāts ports (noklusējuma SSH ports, kas ir 22)

Bastions

Vienīgais, kas būs nepieciešams jūsu bastionam, ir SSH. Ja instalēšanas laikā tas netika atlasīts, vienkārši ierakstiet:

sudo apt instalēt OpenSSH-klientu. sudo apt instalēt OpenSSH-serveri

Kad SSH ir instalēts, noteikti iestatiet SSH serveri uz autentificējiet ar taustiņiem, nevis parolēm Kā autentificēt SSH ar taustiņiem, nevis parolēmSSH ir lielisks veids, kā iegūt attālinātu piekļuvi datoram. Atverot maršrutētāja ostas (precīzi norādot 22. portu), jūs varat ne tikai piekļūt savam SSH serverim no iekšpuses ... Lasīt vairāk . Pārliecinieties, vai bastionu saimnieka IP ir tāds pats, kāds noteikts iepriekš minētajā ostas pārsūtīšanas noteikumā.

Mēs varam veikt ātru pārbaudi, lai pārliecinātos, ka viss darbojas. Lai simulētu atrašanos ārpus mājas tīkla, varat izmantojiet savu viedierīci kā karsto punktu Hotspot vadība: izmantojiet savu Android ierīci kā bezvadu maršrutētājuAndroid ierīces izmantošana kā karstais punkts ir lielisks veids, kā koplietot savus mobilos datus ar citām ierīcēm, piemēram, klēpjdatoru vai planšetdatoru - un tas ir ļoti vienkārši! Lasīt vairāk kamēr tas atrodas mobilajos datos. Atveriet termināli un ierakstiet, aizstājot ar sava bastiona saimnieka konta lietotājvārdu un ar adreses iestatīšanu A darbībā iepriekš:

ssh -p 52739 @

Ja viss bija iestatīts pareizi, tagad jums vajadzētu redzēt bastionu resursdatora termināla logu.

3. Tunelēšana

Izmantojot SSH (saprāta robežās), jūs varat tunelēt gandrīz jebko. Piemēram, ja vēlaties no interneta piekļūt SMB akcijai mājas tīklā, izveidojiet savienojumu ar bastionu resursdatoru un atveriet tuneli SMB akcijai. Paveiciet šo burvību, vienkārši palaižot šo komandu:

ssh -L 15445:: 445 -p 52739 @

Faktiskā komanda izskatās šādi:

ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected] 

Šīs komandas sadalīšana ir vienkārša. Tas tiek savienots ar kontu jūsu serverī, izmantojot maršrutētāja ārējo SSH portu 52739. Vietējā satiksme, kas nosūtīta uz ostu 15445 (patvaļīga osta), tiks nosūtīta caur tuneli, pēc tam nosūtīta mašīnai ar IP 10.1.2.250 un SMB portu 445.

Ja vēlaties kļūt patiešām gudrs, mēs visu komandu varam pseidonīmi ievadīt, ierakstot:

alias sss = 'ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]'

Tagad jums viss jāievada terminālī sss, un bobs ir tavs tēvocis.

Kad savienojums ir izveidots, varat piekļūt savai SMB koplietošanai ar adresi:

smb: // localhost: 15445. 

Tas nozīmē, ka jūs varēsit pārlūkot šo vietējo daļu no interneta tā, it kā jūs atrastos vietējā tīklā. Kā minēts, ar SSH jūs varat daudz ko izmantot. Pat Windows mašīnas, kurās ir iespējota attālā darbvirsma var piekļūt caur SSH tuneli Kā tuneļot Web trafiku, izmantojot SSH Secure Shell Lasīt vairāk .

Atgādinājums

Šis raksts aptvēra daudz ko citu, nekā tikai bastionu saimnieku, un jūs esat labi paveicis, lai to sasniegtu tik tālu. Ja jums ir bastionu resursdators, tas nozīmē, ka tiks aizsargātas citas ierīces, kurām ir pakļauti pakalpojumi. Tas arī nodrošina, ka jūs varat piekļūt šiem resursiem no jebkuras vietas pasaulē. Noteikti sviniet ar kafiju, šokolādi vai abiem. Galvenie mūsu veiktie soļi bija:

• Iestatiet dinamisko DNS
• Pārsūtīt ārēju portu uz iekšēju portu
• Izveidojiet tuneli, lai piekļūtu vietējam resursam

Vai jums ir jāpiekļūst vietējiem resursiem no interneta? Vai jūs to pašlaik izmantojat VPN? Vai jūs iepriekš esat izmantojis SSH tuneļus?

Attēla kredīts: TopVectors /Depositphotos