Aizsargājiet savu tīklu ar bastionu saimnieku tikai 3 soļos

Aizsargājiet savu tīklu ar bastionu saimnieku tikai 3 soļos

Vai jūsu iekšējā tīklā ir mašīnas, kurām jāpiekļūst no ārpasaules? Risinājums varētu būt bastiona resursdatora izmantošana kā tīkla vārtsargs.





Kas ir bastionu saimnieks?

Bastion burtiski nozīmē vietu, kas ir nocietināta. Datora ziņā tā ir iekārta jūsu tīklā, kas var būt vārtsargs ienākošajiem un izejošajiem savienojumiem.



Jūs varat iestatīt savu bastiona saimnieku kā vienīgo iekārtu, kas pieņem ienākošos savienojumus no interneta. Pēc tam iestatiet visas citas tīkla iekārtas, lai tās saņemtu tikai ienākošos savienojumus no jūsu bastiona resursdatora. Kādas priekšrocības tas dod?





Pārsvarā viss pārējais, drošība. Bastionu saimniekam, kā norāda nosaukums, var būt ļoti stingra drošība. Tā būs pirmā aizsardzības līnija pret iebrucējiem un nodrošinās pārējo jūsu mašīnu aizsardzību.

Tas arī nedaudz atvieglo citas tīkla iestatīšanas daļas. Tā vietā, lai pāradresētu portus maršrutētāja līmenī, jums vienkārši jāpārsūta viens ienākošais ports jūsu bastiona saimniekdatoram. No turienes jūs varat sazināties ar citām mašīnām, kurām jums ir nepieciešama piekļuve jūsu privātajā tīklā. Nebaidieties, tas tiks aplūkots nākamajā sadaļā.



Diagramma

Šis ir tipiskas tīkla iestatīšanas piemērs. Ja jums ir nepieciešama piekļuve jūsu mājas tīklam no ārpuses, jūs ienāksit caur internetu. Pēc tam maršrutētājs pārsūtīs šo savienojumu uz jūsu bastiona resursdatoru. Kad būsit izveidojis savienojumu ar bastiona resursdatoru, varēsit piekļūt citām tīkla iekārtām. Tāpat arī no interneta nebūs piekļuves citām iekārtām, izņemot bastiona resursdatoru.

Pietiek vilcināšanās, laiks izmantot bastionu.



1. Dinamiskais DNS

Izveicīgajiem jūsu vidū, iespējams, radās jautājums, kā ar interneta starpniecību piekļūt jūsu mājas maršrutētājam. Lielākā daļa interneta pakalpojumu sniedzēju (ISP) piešķir jums pagaidu IP adresi, kas mainās tik bieži. Interneta pakalpojumu sniedzēji mēdz iekasēt papildu maksu, ja vēlaties statisku IP adresi. Labā ziņa ir tā, ka mūsdienu maršrutētāju iestatījumos parasti ir iekļauts dinamisks DNS.

Dinamiskais DNS ar noteiktiem intervāliem atjaunina jūsu saimniekdatora nosaukumu ar jauno IP adresi, nodrošinot, ka vienmēr varat piekļūt savam mājas tīklam. Ir daudzi pakalpojumu sniedzēji, kas piedāvā minēto pakalpojumu, no kuriem viens ir Bez IP, kam ir pat bezmaksas līmenis . Ņemiet vērā, ka bezmaksas līmenim reizi 30 dienās būs jāapstiprina saimniekdatora vārds. Tas ir tikai 10 sekunžu process, ko viņi atgādina darīt jebkurā gadījumā.



Pēc reģistrēšanās vienkārši izveidojiet saimniekdatora nosaukumu. Jūsu saimniekdatora nosaukumam būs jābūt unikālam, un viss. Ja jums pieder Netgear maršrutētājs, tie piedāvā bezmaksas dinamisku DNS, kam nebūs nepieciešams ikmēneša apstiprinājums.

kā konvertēt pdf uz word uz mac

Tagad piesakieties savā maršrutētājā un meklējiet dinamisko DNS iestatījumu. Tas katram maršrutētājam būs atšķirīgs, taču, ja neatrodat, ka tas slēpjas papildu iestatījumos, pārbaudiet ražotāja lietotāja rokasgrāmatu. Četri iestatījumi, kas parasti jāievada, būs šādi:

  1. Pakalpojumu sniedzējs
  2. Domēna vārds (tikko izveidotais saimniekdatora nosaukums)
  3. Pieteikšanās vārds (e -pasta adrese, kas izmantota, lai izveidotu dinamisko DNS)
  4. Parole

Ja jūsu maršrutētājam nav dinamiska DNS iestatījuma, No-IP nodrošina programmatūru, kuru varat instalējiet vietējā datorā lai sasniegtu tādu pašu rezultātu. Šai mašīnai būs jābūt tiešsaistē, lai atjauninātu dinamisko DNS.

2. Portu pāradresācija vai pāradresācija

Tagad maršrutētājam jāzina, kur pārsūtīt ienākošo savienojumu. Tas tiek darīts, pamatojoties uz ienākošā savienojuma porta numuru. Laba prakse ir neizmantot noklusējuma SSH portu, kas ir 22, publiskai ostai.

Noklusējuma porta neizmantošanas iemesls ir tas, ka hakeriem ir speciāli ostas šifrētāji. Šie rīki pastāvīgi pārbauda, ​​vai nav labi zināmu portu, kas var būt atvērti jūsu tīklā. Kad viņi atklāj, ka jūsu maršrutētājs pieņem savienojumus noklusējuma ostā, viņi sāk sūtīt savienojuma pieprasījumus ar parastajiem lietotājvārdiem un parolēm.

Kaut arī nejaušas ostas izvēle neapturēs ļaundabīgos šņaukājus, tas krasi samazinās jūsu maršrutētājā saņemto pieprasījumu skaitu. Ja jūsu maršrutētājs var pārsūtīt tikai to pašu portu, tā nav problēma, jo jums vajadzētu iestatīt bastiona resursdatoru izmantot SSH atslēgas pāra autentifikāciju, nevis lietotājvārdus un paroles.

Maršrutētāja iestatījumiem vajadzētu izskatīties līdzīgi šim:

  1. Pakalpojuma nosaukums, kas var būt SSH
  2. Protokols (jābūt iestatītam uz TCP)
  3. Publiskais ports (jābūt lielam portam, kas nav 22, izmantojiet 52739)
  4. Privāts IP (jūsu bastiona resursdatora IP)
  5. Privāts ports (noklusējuma SSH ports, kas ir 22)

Bastions

Vienīgais, kas jūsu bastionam būs vajadzīgs, ir SSH. Ja instalēšanas laikā tas netika izvēlēts, vienkārši ierakstiet:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Kad SSH ir instalēts, noteikti iestatiet, lai SSH serveris autentificētos ar atslēgām, nevis parolēm. Pārliecinieties, vai jūsu bastiona resursdatora IP ir tāds pats kā iepriekš norādītajā porta pārsūtīšanas noteikumā.

Mēs varam veikt ātru pārbaudi, lai pārliecinātos, ka viss darbojas. Lai simulētu atrašanos ārpus mājas tīkla, varat izmantojiet savu viedierīci kā karsto punktu mobilajos datos. Atveriet termināli un ierakstiet, aizstājot ar sava bastiona resursdatora konta lietotājvārdu un ar adreses iestatīšanu, veicot iepriekš minēto A darbību:

ssh -p 52739 @

Ja viss bija pareizi iestatīts, tagad jums vajadzētu redzēt sava bastiona resursdatora termināļa logu.

3. Tunelēšana

Izmantojot SSH (saprāta robežās), jūs varat tunelēt gandrīz jebko. Piemēram, ja vēlaties iegūt piekļuvi SMB koplietošanai savā mājas tīklā no interneta, izveidojiet savienojumu ar savu bastiona resursdatoru un atveriet tuneli SMB koplietošanai. Izpildiet šo burvību, vienkārši palaižot šo komandu:

ssh -L 15445::445 -p 52739 @

Faktiskā komanda izskatītos apmēram šādi:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Šīs komandas nojaukšana ir vienkārša. Tas izveido savienojumu ar jūsu servera kontu, izmantojot maršrutētāja ārējo SSH portu 52739. Jebkura vietējā datplūsma, kas nosūtīta uz portu 15445 (patvaļīgs ports), tiks nosūtīta caur tuneli, pēc tam pārsūtīta uz iekārtu ar IP 10.1.2.250 un SMB osta 445.

Ja vēlaties kļūt patiešām gudrs, mēs varam aizstāt visu komandu, ierakstot:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Tagad viss, kas jums jāievada terminālā sss un bobs ir tavs onkulis.

Kad savienojums ir izveidots, varat piekļūt savai SMB koplietošanai ar adresi:

smb://localhost:15445

Tas nozīmē, ka jūs varēsit pārlūkot šo vietējo koplietojumu no interneta tā, it kā jūs būtu lokālajā tīklā. Kā jau minēts, ar SSH palīdzību jūs varat izveidot tuneli jebko. Pat Windows mašīnām, kurām ir iespējota attālā darbvirsma, var piekļūt, izmantojot SSH tuneli.

Kopsavilkums

Šis raksts aptvēra daudz vairāk nekā tikai bastionu saimnieku, un jūs esat paveikuši labi, lai tiktu tik tālu. Ja būs bastiona resursdators, tiks aizsargātas arī citas ierīces, kurām ir pieejami pakalpojumi. Tas arī nodrošina, ka varat piekļūt šiem resursiem no jebkuras vietas pasaulē. Noteikti atzīmējiet ar kafiju, šokolādi vai abiem. Galvenie soļi, kurus mēs apskatījām, bija šādi:

  • Iestatiet dinamisku DNS
  • Pārsūtīt ārējo portu uz iekšējo portu
  • Izveidojiet tuneli, lai piekļūtu vietējam resursam

Vai jums ir nepieciešams piekļūt vietējiem resursiem no interneta? Vai jūs pašlaik izmantojat VPN, lai to sasniegtu? Vai esat iepriekš izmantojis SSH tuneļus?

Attēlu kredīts: TopVectors/ Depositphotos

Kopīgot Kopīgot Čivināt E -pasts 3 veidi, kā pārbaudīt, vai e -pasts ir īsts vai viltots

Ja esat saņēmis e -pastu, kas izskatās mazliet apšaubāms, vienmēr vislabāk ir pārbaudīt tā autentiskumu. Šeit ir trīs veidi, kā noteikt, vai e -pasts ir īsts.

Lasīt Tālāk Saistītās tēmas
  • Linux
  • Drošība
  • Drošība tiešsaistē
  • Linux
Par autoru Jusufs Limalija(49 raksti publicēti)

Jusufs vēlas dzīvot pasaulē, kurā ir novatoriski uzņēmumi, viedtālruņi, kas komplektā ar tumši grauzdētu kafiju, un datori, kuriem ir hidrofobiski spēka lauki, kas papildus atbaida putekļus. Kā biznesa analītiķis un Durbanas Tehnoloģiju universitātes absolvents, kuram ir vairāk nekā 10 gadu pieredze strauji augošā tehnoloģiju nozarē, viņam patīk būt vidējai personai starp tehniskajiem un netehniskajiem cilvēkiem un palīdzēt ikvienam sasniegt ātrumu, izmantojot progresīvas tehnoloģijas.

Vairāk no Yusuf Limalia

Abonējiet mūsu biļetenu

Pievienojieties mūsu informatīvajam izdevumam, lai iegūtu tehniskus padomus, pārskatus, bezmaksas e -grāmatas un ekskluzīvus piedāvājumus!

Noklikšķiniet šeit, lai abonētu