Então, eu tenho vários dispositivos conectados ao meu roteador via cabos ethernet. Todos os dispositivos têm algum tipo de serviço SSH em execução e podem ser acessados pela WAN/Internet via "ssh [email protected]".
Eu também configurei um serviço dynDNS para o meu roteador, para que eu possa alcançá-lo sem precisar saber o endereço IPv4 público exato, pois ele é atribuído dinamicamente (mudando em intervalos cíclicos).
Problema: Agora, todos os dispositivos têm um servidor SSH escutando em sua porta 22 dentro da LAN. Eu preciso encontrar uma maneira de acessar esses dispositivos da Internet/WAN e isso de maneira relativamente segura.
Como eu faço isso?
Apenas 1 dispositivo pode ter um encaminhamento de porta para a porta 22 definido.
Para os outros, você terá que configurar diferentes encaminhamentos de porta em seu roteador que dão a cada dispositivo um número de porta diferente no endereço IP público e encaminha para a porta 22 no endereço IP interno do dispositivo.
Por exemplo:
public-ip:22 -> device1:22
public-ip:222 -> device2:22
public-ip:223 -> device3:22
Para conectar ao device3 você faria ssh
user@public-ip:223Hoje, cerca de meio ano de treinamento extensivo de TI com uma curva de aprendizado íngreme mais tarde, essa é uma pergunta muito fácil de responder.
Este é um esboço simples sobre como fazer isso: (WAN = Wide Area Network, tudo no "lado da Internet" do seu roteador; LAN = Local Area Network, tudo dentro de sua rede doméstica conectado ao seu roteador)
WAN______________________LAN______________
|-> porta externa 22000 -> porta 22 do dispositivo Nr. 0
|-> porta externa 22001 -> porta 22 do dispositivo Nr. 1
|-> porta externa 22002 -> porta 22 do dispositivo Nr. 2
|-> porta externa 22003 -> porta 22 do dispositivo Nr. 3
O sistema por trás disso é chamado de "mapeamento de portas" e "encaminhamento de portas". Em algumas configurações do roteador, você pode encontrar isso em "permitir acesso" ou "redirecionamento de porta".
A idéia é que o roteador verifique todo o tráfego de entrada do lado da WAN e o roteie (através de seu firewall) para os dispositivos certos no lado da LAN. Como todos os dispositivos conectados escutam a porta 22 por padrão, você pode dizer ao seu roteador para solicitar várias portas diferentes no lado da WAN (por exemplo, as mencionadas 22000, 22001, 22002, etc.) e mapeá-las para as portas correspondentes dos dispositivos em do lado da LAN, então o roteador recebe, por exemplo, tráfego na porta 22001 e redireciona esse tráfego através do firewall pela porta 22 no dispositivo nº. 1, então ele recebe o que precisa.
O processo exato de como fazer isso é um pouco diferente entre as grandes variedades de marcas de roteadores (domésticos) (em configurações de não consumidor, o direcionamento do tráfego seria o trabalho dos switches).
Normalmente, você deve encontrar uma configuração parecida com esta:
Para conectado para permitir a porta e solicitar a porta externamente.
Você pode dizer por exemplo:
Para device_1 conectado a 91.233.142.110 (IP arbitrário) permita a porta 22 a 22 e solicite a porta 22001 externamente.
Essa configuração faria duas coisas:
permitir que o tráfego da WAN passe pelo firewall do roteador (risco de segurança - leia a última parte sobre isso)
certifique-se de que todo o tráfego na porta externa (da internet) 22001 será mapeado para a porta 22 do device_1
Com isso, o problema está resolvido. Você pode fazer isso com várias portas externas mapeadas para as portas de dispositivo correspondentes e permitidas pelo firewall para seus dispositivos.
Mas cuidado com o mal lá fora! O firewall está instalado para proteger sua LAN contra tráfego indesejado e potencialmente prejudicial. Portanto, você deve ser avisado sobre como implementar medidas de segurança, para garantir que sua LAN seja a mais segura possível e não possa ser atacada por hackers por aí.
Os métodos relacionados são, por exemplo, permitir apenas uma conexão VPN ou usar a autenticação de chave RSA para seus logins SSH. Certifique-se de ler um guia sobre proteção de dispositivos de rede para proteger seu servidor/NAS de qualquer pessoa ruim por aí!
(Há também outra maneira de resolver esse problema: Alterar as portas padrão que os programas em questão (neste caso, os servidores SSH) estão ouvindo e abandonar o mapeamento de portas com ele, mas quando tive esse problema na época, Eu não tinha ideia do que é um sshd ou porta, então eu o mantive relativamente simples para qualquer recém-chegado, já que configurar um roteador doméstico é em quase todos os casos baseado em GUI e você não precisa mexer com arquivos de configuração, nano/vim ou em geral essa janela preta assustadora que chamamos de terminal :)