どこからでもホームマシンにアクセスするためのSSHポートフォワード？

私はこの質問から来ています：https：//superuser.com/questions/359799/how-to-make-freebsd-box-accessible-from-internet

このport forwardingのプロセス全体を理解したい 。

私はたくさんのことを読みましたが、ポートフォワーディング自体の非常に基本的な概念を理解できていません。

私が持っているもの：

私の家に座っているfreebsdサーバー。
ネットギアルーター

これが私が達成しようとしていることです：

インターネットを介してWindowsマシンからfreebsdサーバーにアクセスできるようにし、Webブラウザを開いてインターネットにアクセスできるようにします。

また、私が持っているubuntuマシンからこのfreebsdボックスにアクセスしたいと思います。

誰かが私を助けてくれるといいですね。

これが、ポートフォワーディング用に行ったnetgearルーターのセットアップです。

承認された回答：

生の事実から始めましょう：

1. あなたが持っているのは：A – FreeBSDボックス、B –ルーターとC –インターネットにアクセスできる一部のマシン。このように見えます：

   .-----.      .-----.                        .-----.
   |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
   '-----'      '-----'                        '-----'
   _________ ________/
             v
              `- this is your LAN
   

   ルーターが通常どのようになっているのかに注目してください 動作：からへの接続を許可します LAN上のマシンから インターネット（簡単に言えば）。したがって、A （またはLAN上の他のマシン）がインターネットにアクセスしたい場合は、許可されます（ここでも、基本的な理解と構成について話します）：

   .-----.      .-----.                        .-----.
   |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
   '-----'      '-----'                        '-----'
         `-->----'  `--->--->---^  
   

   そして、以下はそうではありません デフォルトで許可：

   .-----.      .-----.                        .-----.
   |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
   '-----'      '-----'                        '-----'
         `--<----'  `---<--- - - - - --<---<-----'
   

   （つまり、ルーターは保護 LAN上のマシンがインターネットからアクセスされないようにします。）ルーターは、LANのからに見える唯一の部分であることに注意してください。 インターネット。

2. ポートフォワーディングは、3番目のスキーマを実行できるようにするものです。これは、ルーターに何を伝えることで構成されます。 Cからの接続 どのに行く必要があります LAN上のマシン。これは、ポート番号に基づいて行われます。 –それがポートフォワーディングと呼ばれる理由です 。インターネットから特定のポートで行われるすべての接続がLAN上の特定のマシンに接続されるようにルーターに指示することにより、これを構成します。マシンAに転送されたポート22の例を次に示します。 ：

   .------.     .-------.                        .-----.
   |  A   | ==  |   B   |  - - ( Internet ) - -  |  C  |
   |      |     |       |                        '-----'
   '-|22|-'     ',--|22|'                          |
       `--<-22---'    `---<---- - - - - - --<-22---'
   

3. インターネットを介したこのような接続は、IPアドレスに基づいて行われます。したがって、上記の例をもう少し正確に表すと、次のようになります。

   .------.      .-------.                                .-----.
   |  A   |  ==  |   B   | - - - - - ( Internet ) - - - - |  C  |
   |      |      |       |                                '-----'
   '-|22|-'      ',--|22|'                                   |
       `--<-A:22--'    `--<-YourIP:22 - - - - --<-YourIP:22--'
   

   静的でインターネットに接続していない場合 IPの場合、ISPによってルーターに現在割り当てられているIPをなんとかして知る必要があります。それ以外の場合は、C ルーター（さらにはA）に到達するために接続する必要のあるIPを認識しません ）。これを簡単に解決するために、ダイナミックDNSと呼ばれるサービスを使用できます。 。これにより、ルーターは定期的に特別なDNSサーバーに情報を送信します。 これにより、IPが追跡され、ドメイン名が提供されます。 。かなりの数の無料のダイナミックDNSプロバイダーがあります。多くのルーターには、ルーターと簡単に接続できる構成オプションが付属しています。

関連：Windows 7マシンをシャットダウンすると、代わりに再起動することがありますか？

_{これも単純化されたものであり、インターネットで見られる実際のデバイスはモデムです。これは多くの場合ルーターと統合できますが、別のボックスである場合もあります。
またはその他のマシンインターネット接続。}

今あなたが望むもののために：

1. インターネットからマシンへのsshアクセスを単に許可することは悪い考えです。 クラッカーによって設定されたボットは何千もあります SSHポートが開いているマシンをインターネットで検索します。彼らは通常、できるだけ多くのIPのデフォルトのSSHポートを「ノック」し、どこかで実行されているSSHデーモンを見つけたら、ブルートフォースを取得しようとします。 マシンへのアクセス。これは、潜在的な侵入のリスクだけでなく、マシンがブルートフォースされている間のネットワークの速度低下のリスクでもあります。

2. そのようなアクセスが本当に必要な場合は、少なくとも

   • 強いを持っていることを確認してください すべてのユーザーアカウントのパスワード

   • SSH経由のルートアクセスを禁止します（通常のユーザーとしていつでもログインでき、su またはsudo その後）、

   • SSHサーバーが実行されるデフォルトのポートを変更します。

   • 多数のSSHログイン試行を禁止するメカニズムを導入します（後続の試行を待つ時間が長くなります-これがどのように正確に呼ばれているかは覚えていません-しばらく前にFreeBSDで有効にしていたので、非常に簡単だったことを思い出します-試してみてくださいSSHの保護についてFreeBSDフォーラムなどを検索すると、見つけることができます。）

   • 可能であれば、近い将来マシンにアクセスすることがわかっている場合にのみsshデーモンを実行し、後でオフにするようにしてください。

3. システムログの確認に慣れてください。疑わしいことに気づき始めた場合は、IPテーブルなどの追加のセキュリティメカニズムを導入してください。 またはポートノッキング 。