ssh port forward pour accéder à ma machine domestique depuis n'importe où

https://serverfault.com/questions/303937/how-to-make-freebsd-box-accessible-from-internet

Je veux comprendre tout ce process de port forwarding de port forwarding .

Je lis beaucoup de choses mais je n'arrive pas à comprendre le concept de base du port qui le transmet lui-même.

Ce que j'ai:

un server freebsd assis chez moi.
routeur netgear

C'est ce que j'essaie de réaliser:

pour pouvoir accéder au server freebsd à partir d'une machine Windows via internet pour pouvoir ouvrir un browser web et accéder à internet.

Je veux aussi accéder à cette boîte freebsd d'une machine Ubuntu que j'ai.

Ce sera formidable si quelqu'un peut m'aider s'il vous plaît.

Edit: 0 voici la configuration du routeur netgear que j'ai fait pour le portportage.

Netgear port forwarding

    Je vais commencer par les faits bruts:

    1. Vous avez: A – votre boîte FreeBSD, B – votre routeur et C – une machine avec access Internet. Voici à quoi cela ressemble:

       .-----. .-----. .-----. | A | == | B | - - ( Internet ) - - | C | '-----' '-----' '-----' \_________ ________/ v `- this is your LAN 

      Remarquez comment votre routeur fonctionne normalement : il permet les connections des machines de votre réseau local vers Internet (simplement parlant). Donc, si le A (ou toute autre machine sur le réseau local) veut accéder à Internet, il sera autorisé (encore une fois, il suffit de parler de la compréhension et de la configuration de base):

       .-----. .-----. .-----. | A | == | B | - - ( Internet ) - - | C | '-----' '-----' '-----' `-->----' `--->--->---^ 

      Et ce qui suit n'est pas autorisé par défaut:

       .-----. .-----. .-----. | A | == | B | - - ( Internet ) - - | C | '-----' '-----' '-----' `--<----' `---<--- - - - - --<---<-----' 

      (C'est-à-dire que le routeur protège les machines de votre réseau local d'access à partir d'Internet.) Notez que le routeur est la seule partie de votre réseau local qui est visible sur Internet 1) .

    2. La redirection de port est ce qui permet au troisième schéma d'avoir lieu. Cela consiste à dire au routeur quelle connection de C 2) doit aller à quelle machine sur le réseau local. Ceci est fait en fonction des numéros de port – c'est pourquoi il est appelé redirection de port . Vous configurez cela en donnant l'instruction au routeur que toutes les connections venant sur un port donné à partir d'Internet devrait aller à une certaine machine sur le LAN. Voici un exemple pour le port 22 transmis à la machine A :

       .------. .-------. .-----. | A | == | B | - - ( Internet ) - - | C | | | | | '-----' '-|22|-' ',--|22|' | `--<-22---' `---<---- - - - - - --<-22---' 
    3. Ces connections via Internet sont basées sur des adresses IP. Donc, une représentation un peu plus précise de l'exemple ci-dessus serait:

       .------. .-------. .-----. | A | == | B | - - - - - ( Internet ) - - - - | C | | | | | '-----' '-|22|-' ',--|22|' | `--<-A:22--' `--<-YourIP:22 - - - - --<-YourIP:22--' 

      Si vous ne disposez pas d'une connection Internet avec une adresse IP statique , vous devez apprendre d'une manière ou d'une autre l'adresse IP actuellement atsortingbuée à votre routeur par le FAI. Sinon, C ne saura pas à quelle adresse IP il doit se connecter pour accéder à votre routeur (et ensuite à A ). Pour résoudre ce problème de manière simple, vous pouvez utiliser un service appelé DNS dynamic . Cela permettrait à votre routeur d'envoyer périodiquement des informations à un server DNS spécial qui gardera une trace de votre adresse IP et vous fournira un nom de domaine . Il existe un certain nombre de fournisseurs DNS dynamics gratuits. De nombreux routeurs sont livrés avec des options de configuration pour les contacter facilement.

    1) C'est encore une simplification – le périphérique réel qui est vu sur Internet est le modem – qui peut souvent être embedded au routeur, mais qui pourrait aussi être une boîte séparée.
    2) ou toute autre machine avec une connection Internet.


    Maintenant pour ce que tu veux:

    1. Le simple fait d'autoriser l'access à votre machine depuis Internet est une mauvaise idée. Il y a des milliers de robots mis en place par des crackers qui cherchent sur Internet des machines avec un port SSH ouvert. Ils «frappent» généralement le port SSH par défaut du plus grand nombre d'adresses IP possibles et, une fois qu'ils trouvent un démon SSH exécuté quelque part, ils essaient d'get l'access brutal à la machine. Ce n'est pas seulement un risque d'effraction potentielle, mais aussi de ralentissement du réseau pendant que la machine est en train d'être forcée.

    2. Si vous avez vraiment besoin d'un tel access, vous devriez au less

      • assurez-vous que vous avez des passwords forts pour tous les counts d'user,

      • interdire l'access root sur SSH (vous pouvez toujours vous connecter en tant qu'user normal et su ou sudo )

      • changez le port par défaut sur lequel votre server SSH s'exécuterait,

      • introduire un mécanisme d'interdiction de nombreuses tentatives de connection SSH (avec un time d'attente plus long pour les tentatives ultérieures – je ne me souviens pas exactement comment cela s'appelle – je l'avais activé il y a quelques time sur FreeBSD et je me souviens qu'il était assez facile – essayer la search de certains forums FreeBSD, etc sur la sécurisation de SSH et vous le findez.)

      • Si possible, essayez d'exécuter ssh daemon uniquement lorsque vous savez que vous allez accéder à la machine dans un proche avenir et l'éteindre ensuite

    3. Prenez l'habitude de parcourir vos journaux système. Si vous commencez à remarquer quelque chose de suspect, introduisez des mécanismes de security supplémentaires tels que les tables IP ou le portage .

    Il y a plusieurs façons d'y parvenir. Le plus facile est probablement de mettre en place ce qu'on appelle une DMZ. Le moyen le plus sûr, cependant, est sur votre routeur de configurer une route statique sur le port 22 vers l'adresse IP de votre server.

    Ressources:

    • Comment le transfert de port est-il configuré? (copy archivée de la page NETGEAR)
    • Comment transférer vers l'avant pour un Internet plus rapide (actuel, mais incomplet, copy de ce qui précède, chez TechRadar)
    • FAQ sur l'étude de cas VPN

    Cela peut être fait par votre routeur. Sur un routeur, cette fonctionnalité est appelée Virtual Server

    Voir dans la partie inférieure de l'image deux exemples de redirection de port. L'un est de Web et l'autre est de SSH. Dans le premier cas, toute request sur votre IP WAN, c'est-à-dire l'adresse IP de votre routeur avec le port 80 sera transmise à une IP LAN ( 192.168.2.4 dans ce cas)
    Avec cette fonctionnalité, vous pouvez get des services s'exécutant sur votre PC / server fonctionnant dans le réseau local de n'importe où dans le monde, c'est-à-dire que ces services ne sont pas limités au LAN
    Redirection de port ou serveur virtuel sur un routeur