3 arriba sobre su IP WAN. Si tiene una IP estática, lo más probable es que funcione de inmediato. Pero si no es así, lea detenidamente.

Question 1

Una forma más sencilla de configurar el enrutador de su hogar para permitir la conexión entrante a su PC doméstica (que ejecuta Linux) es configurar DMZ en su PC.

Como algunas personas han mencionado (también para resumir):

Inicie sesión en su enrutador en casa y configure DMZ en la dirección de su PC local (por ahora asumimos que la dirección IP de su PC Linux es 192.168.1.5)
Instale openssh-server en su PC con Linux y no olvide probarlo (simplemente con ssh 192.168.1.5 solo para probar que puede enviar ssh al servidor openssh que acaba de instalar)
Necesita saber su dirección IP WAN (la dirección IP que el mundo conoce cuando se conecta externamente fuera de su red interna). Por ahora, supongamos que es 8.8.8.8 (tenga en cuenta que en realidad es el DNS de Google, pero yo estoy usando este para este ejemplo)
Conéctese desde su trabajo (o cualquier otra PC conectada a Internet) usando PuTTY o SSH para conectarse al puerto 22 8.8.8.8. Si está usando PuTTY (desde su oficina), entonces debería conectarse y solicitar su nombre de usuario/contraseña para inicie sesión en su máquina Linux.
Verifique el Firewall de su Linux Box y asegúrese de que permita ssh

Algunos posibles problemas:

3 arriba sobre su IP WAN. Si tiene una IP estática, lo más probable es que funcione de inmediato. Pero si no es así, lea detenidamente.
3 arriba sobre su IP WAN. La mayoría de los hogares vienen con IP dinámica, aquí es cuando desea que entre en juego un servicio llamado DDNS (DNS dinámico). DDNS le permite crear un nombre (mypc.ddns.com o algo así), y su PC informará periódicamente a DDNS que tiene una nueva IP WAN.
Su Linux Box tiene su propio firewall y conexión de bloqueo. Supongo que sabe cómo cambiar esta configuración.
Su enrutador tiene su propio firewall y conexión de bloqueo; puede crear una excepción. Pero la configuración DMZ debería anular el bloqueo del firewall en su enrutador y pasar a través de todas las conexiones desconocidas a su PC con Linux (o lo que sea que esté configurada la DMZ).
Su ISP está bloqueando la conexión entrante del puerto 22. ... aquí es cuando estás algo lleno. Pero hay una solución. Su enrutador debería permitir el reenvío de puertos. Utilice un puerto no común (cree un número... digamos 12222 que, con suerte, no esté bloqueado por su ISP) y luego configure un reenvío de puerto desde el puerto 12222 al puerto 22; todo esto se realiza en su enrutador.

Estoy bastante seguro de que otras personas pueden señalar algunos problemas más posibles, pero inténtelo por ahora y vea cómo le va.

Espero que esto ayude.

Answer

Una forma más sencilla de configurar el enrutador de su hogar para permitir la conexión entrante a su PC doméstica (que ejecuta Linux) es configurar DMZ en su PC.

Como algunas personas han mencionado (también para resumir):

Inicie sesión en su enrutador en casa y configure DMZ en la dirección de su PC local (por ahora asumimos que la dirección IP de su PC Linux es 192.168.1.5)
Instale openssh-server en su PC con Linux y no olvide probarlo (simplemente con ssh 192.168.1.5 solo para probar que puede enviar ssh al servidor openssh que acaba de instalar)
Necesita saber su dirección IP WAN (la dirección IP que el mundo conoce cuando se conecta externamente fuera de su red interna). Por ahora, supongamos que es 8.8.8.8 (tenga en cuenta que en realidad es el DNS de Google, pero yo estoy usando este para este ejemplo)
Conéctese desde su trabajo (o cualquier otra PC conectada a Internet) usando PuTTY o SSH para conectarse al puerto 22 8.8.8.8. Si está usando PuTTY (desde su oficina), entonces debería conectarse y solicitar su nombre de usuario/contraseña para inicie sesión en su máquina Linux.
Verifique el Firewall de su Linux Box y asegúrese de que permita ssh

Algunos posibles problemas:

3 arriba sobre su IP WAN. Si tiene una IP estática, lo más probable es que funcione de inmediato. Pero si no es así, lea detenidamente.
3 arriba sobre su IP WAN. La mayoría de los hogares vienen con IP dinámica, aquí es cuando desea que entre en juego un servicio llamado DDNS (DNS dinámico). DDNS le permite crear un nombre (mypc.ddns.com o algo así), y su PC informará periódicamente a DDNS que tiene una nueva IP WAN.
Su Linux Box tiene su propio firewall y conexión de bloqueo. Supongo que sabe cómo cambiar esta configuración.
Su enrutador tiene su propio firewall y conexión de bloqueo; puede crear una excepción. Pero la configuración DMZ debería anular el bloqueo del firewall en su enrutador y pasar a través de todas las conexiones desconocidas a su PC con Linux (o lo que sea que esté configurada la DMZ).
Su ISP está bloqueando la conexión entrante del puerto 22. ... aquí es cuando estás algo lleno. Pero hay una solución. Su enrutador debería permitir el reenvío de puertos. Utilice un puerto no común (cree un número... digamos 12222 que, con suerte, no esté bloqueado por su ISP) y luego configure un reenvío de puerto desde el puerto 12222 al puerto 22; todo esto se realiza en su enrutador.

Estoy bastante seguro de que otras personas pueden señalar algunos problemas más posibles, pero inténtelo por ahora y vea cómo le va.

Espero que esto ayude.

Question 2

Hay tres opciones que conozco

Reenvío de puertos

Puede configurar el reenvío de puertos paracadadispositivo al que desea poder conectarse externamente.

Esto supone que conoce su dirección IP externa.

Para cada dispositivo, puede asignar un puerto externo arbitrario que reenvíe a ese dispositivo en el puerto 22. (O puede hacer esto para un dispositivo y luego conectarse a los demás a través de él)

vpn

Si creara una VPN con su red local y luego se conectara a dicha VPN, le daría acceso a todo lo que hay en la red.

SSH inverso

Con SSH inverso, utiliza un servidor externo y configura una sesión de escucha ssh. Luego, en el servidor externo puedes conectarte al dispositivo detrás del enrutador sin que te molesten los firewalls/reenvío de puertos/etc... Esto es lo que prefiero (ya que todavía no he configurado una VPN), pero tengo acceso a un servidor externo.

Puedes hacer esto con:
Dispositivo en la red domésticassh -f -N -R 1234:localhost:22 [email protected]

¿Dónde 1234está el puerto que el control remoto usaría para reenviar al dispositivo?
remote.server.examplees la dirección del control remoto

Luego, en el servidor remotossh -p 1234 -t device_user@localhost

Answer

Hay tres opciones que conozco

Reenvío de puertos

Puede configurar el reenvío de puertos paracadadispositivo al que desea poder conectarse externamente.

Esto supone que conoce su dirección IP externa.

Para cada dispositivo, puede asignar un puerto externo arbitrario que reenvíe a ese dispositivo en el puerto 22. (O puede hacer esto para un dispositivo y luego conectarse a los demás a través de él)

vpn

Si creara una VPN con su red local y luego se conectara a dicha VPN, le daría acceso a todo lo que hay en la red.

SSH inverso

Con SSH inverso, utiliza un servidor externo y configura una sesión de escucha ssh. Luego, en el servidor externo puedes conectarte al dispositivo detrás del enrutador sin que te molesten los firewalls/reenvío de puertos/etc... Esto es lo que prefiero (ya que todavía no he configurado una VPN), pero tengo acceso a un servidor externo.

Puedes hacer esto con:
Dispositivo en la red domésticassh -f -N -R 1234:localhost:22 [email protected]

¿Dónde 1234está el puerto que el control remoto usaría para reenviar al dispositivo?
remote.server.examplees la dirección del control remoto

Luego, en el servidor remotossh -p 1234 -t device_user@localhost

Question 3

Tenga cuidado al hacer esto desde su trabajo. Puede que a la seguridad de TI no le guste. Mucho cuidado que esté dentro de la política de la empresa.

Para citar la página 83 de SSH Mastery de Michael Lucas,https://www.tiltedwindmillpress.com/$9.99

Sin embargo, supongamos que mi escritorio está dentro de una red de alta seguridad. El firewall restringe estrictamente la navegación web y bloquea todas las transferencias de archivos. Si puedo usar SSH para conectarme a un servidor fuera de la red, podría reenviar el tráfico de mi escritorio a ese servidor externo para obtener acceso sin restricciones a Internet. Podría cargar documentos confidenciales a través de SSH y los registros del firewall solo mostrarían que hice una conexión SSH.

Túneles versus política de seguridad

Si es el responsable de seguridad de una organización, el reenvío de puertos podría hacerle considerar bloquear SSH por completo. Entiendo. He tenido tu trabajo. También debe saber que un usuario recalcitrante puede hacer un túnel SSH dentro de DNS, HTTP o casi cualquier otro servicio o protocolo. La única forma de bloquear absolutamente SSH es negar todas las conexiones TCP o UDP desde el interior de su red al mundo exterior, utilizar un proxy web que inspeccione el tráfico de forma inteligente y no permitir que sus clientes accedan al DNS público ni siquiera a través de un proxy.

Lo que estás intentando probablemente sea posible. La mayoría de los firewalls de las empresas dejan abierto el puerto 80, así como otros puertos. En el símbolo del sistema de Windows, hágalo netstat -ny obtendrá una lista de direcciones internas con puertos abiertos, por ejemplo.

Active Connections

Proto  Local Address          Foreign Address        State

TCP    10.96.144.75:49242     10.96.144.4:445        ESTABLISHED
 :
 :

Answer

Tenga cuidado al hacer esto desde su trabajo. Puede que a la seguridad de TI no le guste. Mucho cuidado que esté dentro de la política de la empresa.

Para citar la página 83 de SSH Mastery de Michael Lucas,https://www.tiltedwindmillpress.com/$9.99

Sin embargo, supongamos que mi escritorio está dentro de una red de alta seguridad. El firewall restringe estrictamente la navegación web y bloquea todas las transferencias de archivos. Si puedo usar SSH para conectarme a un servidor fuera de la red, podría reenviar el tráfico de mi escritorio a ese servidor externo para obtener acceso sin restricciones a Internet. Podría cargar documentos confidenciales a través de SSH y los registros del firewall solo mostrarían que hice una conexión SSH.

Túneles versus política de seguridad

Si es el responsable de seguridad de una organización, el reenvío de puertos podría hacerle considerar bloquear SSH por completo. Entiendo. He tenido tu trabajo. También debe saber que un usuario recalcitrante puede hacer un túnel SSH dentro de DNS, HTTP o casi cualquier otro servicio o protocolo. La única forma de bloquear absolutamente SSH es negar todas las conexiones TCP o UDP desde el interior de su red al mundo exterior, utilizar un proxy web que inspeccione el tráfico de forma inteligente y no permitir que sus clientes accedan al DNS público ni siquiera a través de un proxy.

Lo que estás intentando probablemente sea posible. La mayoría de los firewalls de las empresas dejan abierto el puerto 80, así como otros puertos. En el símbolo del sistema de Windows, hágalo netstat -ny obtendrá una lista de direcciones internas con puertos abiertos, por ejemplo.

Active Connections

Proto  Local Address          Foreign Address        State

TCP    10.96.144.75:49242     10.96.144.4:445        ESTABLISHED
 :
 :

3 arriba sobre su IP WAN. Si tiene una IP estática, lo más probable es que funcione de inmediato. Pero si no es así, lea detenidamente.

Respuesta1

3 arriba sobre su IP WAN. Si tiene una IP estática, lo más probable es que funcione de inmediato. Pero si no es así, lea detenidamente.

3 arriba sobre su IP WAN. La mayoría de los hogares vienen con IP dinámica, aquí es cuando desea que entre en juego un servicio llamado DDNS (DNS dinámico). DDNS le permite crear un nombre (mypc.ddns.com o algo así), y su PC informará periódicamente a DDNS que tiene una nueva IP WAN.

Respuesta2

Reenvío de puertos

vpn

SSH inverso

Respuesta3

información relacionada