Estoy intentando configurar el reenvío de puertos para SSH para poder conectarme a mi Raspberry Pi desde otra red.
Tengo estas páginas en mi enrutador (DRG-A125G):
Funciona solo si especifico el puerto de origen Cualquiera (¿qué significa?) y el puerto de destino 22. Si configuro ambos en 22 o uno en 12386 y otro en 22, no puedo conectarme.
Respuesta1
El puerto de origen es el puerto al que se vincula el cliente SSH para conectarse al servidor SSH ubicado en Raspberry en el puerto 22.
El puerto del cliente es necesario porque los paquetes de respuesta (del servidor SSH al cliente SSH) deben tener un destino en la red (la dirección IP del cliente SSH y el puerto donde escucha el proceso del cliente SSH).
El cliente generalmente elige un puerto aleatorio, libre y sin privilegios (> 1024) en cada conexión, por lo que si elige un puerto de origen específico, el reenvío de puerto no funcionará (a menos que su cliente SSH tenga MUCHA suerte al elegir este puerto específico).
Entonces, para acceder al servidor SSH debes elegir la opción "Cualquier puerto" como fuente.
Tenga en cuenta que elegir "cualquier puerto" no es una amenaza a la seguridad en sí misma; en su lugar, debería considerar realizar alguna corrección de seguridad para protegerse del acceso no autorizado, como:
- Elija una buena contraseña o, mejor, permita iniciar sesión únicamente mediante claves SSH
- Limite la dirección IP de origen a un rango confiable específico (si es posible)
- Limite el máximo de intentos fallidos de inicio de sesión con algo comofalla2ban
- No exponga SSH directamente sino a través de un servicio VPN comoOpenVPN