Entonces, digamos hipotéticamente que voy a estar lejos de mi escritorio, pero me gustaría poder acceder a él mediante SSH cuando esté fuera de casa.
¿Es tan simple como agregar una regla de reenvío de puerto/NAT a la página de mi enrutador en 192.168.1.1
el puerto 22
?
Digamos que mi IP pública es 1.2.3.4
. Luego agregaría la regla a mi enrutador y luego podría SSH en mi caja desde ?ssh [email protected]
Respuesta1
La propuesta de tu pregunta es completamente correcta.
Debe instalar el servidor OpenSSH ( sudo apt install openssh-server
) y luego configurar el reenvío de puertos en su enrutador. Por supuesto, también necesitarás agregar una excepción en la configuración del firewall de tu computadora local para SSH.
También se suele aconsejarforzar la autenticación de clave públicaen lugar de utilizar una contraseña para mayor seguridad.
También tenga en cuenta que debe configurar una dirección IP estática, solo para que su configuración de reenvío de puertos no se rompa en un momento inoportuno debido al DHCP. Si bien la mayoría de los enrutadores tenderán a permitir que su computadora conserve su dirección IP, esta no siempre es una solución válida y no tiene en cuenta las caídas temporales de la conexión. Por lo general, es mejor incorporar una IP NAT estática para tener la garantía de que funcionará.
Cuando esté fuera de casa, podrá acceder mediante SSH a su IP pública y podrá acceder a su computadora. También puede considerar el uso de unDNS Dinámicoproveedor para asignar un nombre de dominio a su enrutador, por lo que cualquier cambio de IP impulsado por su ISP tampoco afectará su conexión.
Tenga en cuenta que existen implicaciones de seguridad (muy menores) al abrir un servidor a SSH mundial. Principalmente, esto hará que robots automatizados hagan ping a su servidor varias veces intentando encontrar servidores mal protegidos. No utilizar un nombre de usuario estándar (como admin
) y la autenticación basada en claves casi siempre los mantendrá alejados. Si está realmente preocupado, puede usar un puerto que no sea el 22 (aunque los robots inteligentes o los humanos lo intentarán nmap
si el puerto 22 está cerrado), useFail2Ban, o ambos. Suponiendo que existan protocolos de seguridad adecuados, el peor ataque que puede realizar un bot malicioso es escribir una cantidad decente de entradas de registro en su disco duro.
Si usted es una de esas personas desafortunadas que se encuentran entre múltiples capas de NAT (algunos ISP hacen algo llamado NAT de nivel de operador), esto se vuelve mucho más complicado. Necesitará una VPN o algún otro medio para hacer proxy de su túnel SSH. Por supuesto, también puedes solicitar un puerto a tu ISP, aunque el éxito puede variar.